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1.1. whoami 
Comanda whoami vă spune numele de utilizator. 


[paulecentos7 =]$ whoami 
paul 
[paulecentos7 -]$ 


1.2. who 


Comanda who vă va da informații despre cine este intrat în sistem. 


[paulecentos7 =-]$ who 

root pts/0 2014-10-10 23:07 (10.104.33.101) 
paul pts/l 2014-10-10 23:30 (10.104.33.101) 
laura pts/2 2014-10-10 23:34 (109.104.33.96) 
tania pts/3 2014-10-10 23:39 (109.104.33.91) 
[paulecentos7 -]$ 


1.3. who am i 


Cu who am i comanda who va afişa doar linia care ținteşte la sesiunea curentă. 


[paulecentos7 =-]$ who an i 
paul pts/1l 2014-10-10 23:30 (10.104.33.101) 
[paulecentos7 -]$ 


1.4. WwW 


Comanda w afişează cine este intrat în sistem şi ce fac utilizatorii. 


[paulecentos7 =-]$Ș w 
23:34:07 up 31 min, 2 users, load average: 0.00, 0.01, 0.02 


USER TTY LOGINA IDLE ICPU PCPU WHAT 
root pts/0 23:07 15.00s 0.01s 0.01s top 
paul pts/1l 23:30 7.00s 0.00s 0.00s w 


[paulecentos7 -]$ 
1.5. id 


Comanda id vă va da user-ul id, grup primar id, şi o listă a grupurilor de care 
aparțineţi. 


pauledebian7:-$ id 
uid=1000 (paul) gid=1000(paul) groups=1000(paul) 


Pe RHEL/CentOS veți primi de asemeni informație context SELinux cu această 
comandă. 


[rootâcentos7 =-]4 id 
uid=0(root) gid=0(root) groups=0(root) context=unconfined_u:unconfined_ri 
:unconfined_t:s0-s0:c0.c1023 


1.6. su la un alt utilizator 


Comanda su permite unui utilizator să ruleze un shell ca un alt utilizator. 
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lauraQdebian7:-$ su tania 
Password: 
taniaadebian7: /home/lauraş$ 


1.7. su la root 


Da, puteţi folosi su pentru a deveni root, cînd ştiţi parola root. 


lauraedebian7:-$ su root 
Password: 
rootadebian7r: /home/laurat 


1.8. su ca root 


Trebuie să ştiţi parola utilizatorului căruia îi vreți substituirea, exceptînd 
cazul cînd sînteți logat ca root. Utilizatorul root poate deveni orice 
utilizator existent fără a şti parola utilizatorului. 


rootQdebian7:-% id 

uid=0(root) gid=0(root) groups=0(root) 
rootQdebian7:-t su - valentina 
valentinaadebian7:-$ 


1.9. su - $username 


Prin default, comanda su menține acelaşi mediu shell. Pentru a deveni un alt 
utilizator şi de asemeni să primiți mediul utilizatorului țintă, tastați comanda 
su - urmat de numele utilizatorului țintă. 


rootâdebian7:-4 su laura 
lauraâdebian7:/root$ exit 
exit 

rootedebian7:-% su - laura 
lauraedebian7:-$ pud 
/home/laura 


1.10. su - 


Cînd nici un nume de utilizator nu este dat su sau su -, comanda va înțelege că 
root este ținta. 


taniaadebian7:-$ su — 
Password: 
rootedebian7: = 


1.11. executarea unui program ca alt utilizator 


Programul sudo permite unui utilizator să înceapă un program cu acreditările 
unui alt utilizator. înainte ca asta să funcționeze, administratorul de sistem 
trebuie să seteze fişierul /etc/sudoers. Acest lucru poate fi folositor pentru a 
delega sarcini administrative unui alt utilizator (fără a da parola root). 


Captura de ecran de mai jos arată folosirea lui sudo. Utilizatorul paul a primit 
dreptul de a executa useradd cu acreditările lui root. Asta îi permite lui paul 
să creeze noi utilizatori pe sistem fără a deveni root şi fără a şti parola 
root. 


Mai întîi comanda eşuează pentru paul. 
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pauledebian7:-$ /usr/sbin/useradd -m valentina 
useradd: Permission denied. 
useradd: cannot lock /etc/passwd; try again later. 


Dar cu sudo funcționează. 


pauledebian7:-$ sudo /usr/sbin/useradd -m valentina 
[sudo] password for paul: 
pauledebian7:-$ 


1.12. visudo 


Verificaţi pagina de manual a visudo înainte de a vă juca cu fişierul 
/etc/sudoers. Editarea sudoers este înafara scopului acestei cărți. 


paulerhel65:-$ apropos visudo 
visudo (8) - edit the sudoers file 
paulârhel65:-$ 


1.13. sudo su - 


Pe unele sisteme Linux ca Ubuntu şi Xubuntu, utilizatorul root nu are o parolă 
setată. Asta înseamnă că nu e posibil să ne logăm ca root (securitate extra). 
Pentru a îndeplini sarcini ca root, primului utilizator îi sînt date toate 
drepturile sudo prin /etc/sudoers. De fapt toți utilizatorii care sînt membri a 
grupului admin pot folosi sudo pentru a executa toate comenzile ca root. 


rootalaika:-+ grep admin /etc/sudoers 
+ Members of the admin group may gain root privileges 
%admin ALL=(ALL) ALL 


Rezultatul final este că utilizatorul poate tasta sudo su - şi să devină root 
fără a tasta parola root. Comanda sudo cere să tastați propria dvs. parolă. 
Astfel prompterul password în captura de ecran de mai jos este pentru sudo, nu 
pentru su. 


paulelaika:=$ sudo su -— 
Password: 
rootalaika:-t 


1.14. logare sudo 
Folosind sudo fără autorizare va afişa o avertizare severă: 


paulerhel65:-$ sudo su - 


We trust you have received the usual lecture from the local System 
Administrator. It usually boils down to these three things: 


+1) Respect the privacy of others. 
42) Think before you type. 
+3) With great power comes great responsibility. 


[sudo] password for paul: 


paul is not in the sudoers file. This incident will be reported. 
paulerhel65:-$ 
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Utilizatorul root poate vedea acestea în /var/log/secure pe Red Hat şi în 
/var/log/auth. log pe Debian. 


rootârhel65:-+ tail /var/log/secure | grep sudo | tr -s!!! 

Apr 13 16:03:42 rhel65 sudo: paul : user NOT in sudoers ; TTY=pts/0 ; PWD=i 
/home/paul ; USER=root ; COMMAND=/bin/su - 

rooterhel65:-+4 
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1.15. practică: introducere la utilizatori 


Executaţți o comandă care afişează doar numele utilizatorului intrat în sistem 
n mod curent. 


a 


2. Afişați o listă a tuturor utilizatorilor intrați în sistem. 


3. Afişați o listă a tuturor utilizatorilor intraţi în sistem incluzând comanda 
pe care ei o rulează în acest moment. 


4. Afişați numele dvs. de utilizator şi identificarea unică utilizator (userid). 


5. Folosiţi su pentru a schimba un alt cont de utilizator (dacă nu sînteţi root, 
aveți nevoie de parola celuilalt cont). Şi intrați înapoi în contul anterior. 


6. Acum folosiți su - pentru a schimba alt utilizator şi observați diferenţa. 
Notați că su - vă duce în directorul home a lui tania. 

7. încercaţi să creați un nou cont de utilizator (când folosiți contul de 
utilizator normal). Asta ar trebui să eşueze. (Detalii despre adăugarea 


conturilor de utilizator sînt explicate în capitolul următor.) 


8. Acum încercaţi acelaşi lucru, dar cu sudo înainte de comandă. 
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1.16. soluție: introducere la utilizatori 


1. Executaţi o comandă care afişează doar numele utilizatorului intrat în sistem 
în mod curent. 


lauraQdebian7:-$ whoami 
laura 

lauraQdebian7:-$ echo ȘUSER 
laura 


2. Afişați o listă a tuturor utilizatorilor intrați în sistem. 


lauraedebian7:-$ who 
laura pts/0 2014-10-13 07:22 (10.104.33.101) 
lauraQdebian7:-$ 


3. Afişați o listă a tuturor utilizatorilor intraţi în sistem incluzând comanda 
pe care ei o rulează în acest moment. 


lauraQdebian7:=-$ w 

07:47:02 up 16 min, 2 users, load average: 0.00, 0.00, 

USER TTY FROM LOGINE IDLE JCPU PCPU WHAT 
root pts/0 10.104.33.101 07:30 6.00s 0.04s 0.00s w 

root pts/1  10.104.33.101 07:46 6.00s 0.01s 0.00s sleep 42 
lauraQdebian7:-$ 


4. Afişați numele dvs. de utilizator şi identificarea unuică utilizator 
(userid). 


lauraâdebian7:-$ id 
uid=1005(laura) gid=1007(laura) groups=1007(laura) 
lauradebian7:-$ 


5. Folosiţi su pentru a schimba un alt cont de utilizator (dacă nu sînteţi root, 
aveți nevoie de parola celuilalt cont). Şi intrați înapoi în contul anterior. 


lauraQdebian7:-$ su tania 

Password: 

taniaadebian7: /home/laura$ id 

uid=1006(tania) gid=1008(tania) groups=1008(tania) 
taniaedebian7: /home/lauraș exit 

lauraedebian7:-$ 


6. Acum folosiți su - pentru a schimba alt utilizator şi observați diferenţa. 


lauraQdebian7:-$ su - tania 
Password: 

taniaedebian7:-$ pud 
/home/tania 
taniaedebian7:-$ logout 
lauraQdebian7:-$ 


Notați că su - vă duce în directorul home a lui tania. 
7. încercaţi să creați un nou cont de utilizator (folosind contul de utilizator 


normal). Asta ar trebui să eşueze. (Detalii despre adăugarea conturilor de 
utilizator sînt explicate în capitolul următor.) 
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lauraedebian7:-$ useradd valentina 

-su: useradd: command not found 

lauraedebian7:-$ /usr/sb'in/useradd valentina 
useradd: Permission denied. 

useradd: cannot lock /etc/passwd; try again later. 


Este posibil ca useradd să fie localizat în /sbin/useradd pe computer. 


8. Acum încercaţi acelaşi lucru, dar cu sudo înainte de comandă. 


lauraedebian7:-$ sudo /usr/sb'in/useradd valentina 

[sudo] password for laura: 

laura is not in the sudoers file. This incident will be reported. 
lauraâdebian7:-$ 


Observați că laura nu are permisiunea să utilizeze sudo pe acest sistem. 
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Capitolul 2. management utilizator 


Acest capitol vă va învăța cum să utilizați useradd, usermod şi userdel pentru a 
crea, modifica şi şterge conturi de utilizator. 


Veţi avea nevoie de acces root pe un computer Linux pentru a termina acest 
capitol. 


18 


2.1. management utilizator 


Managementul utilizatorului pe Linux poate fi făcut în trei moduri 
complementare. Puteți folosi uneltele grafice date de distribuție. Aceste unelte 
au un aspect şi prezentare care depinde de distribuție. Dacă sînteţi un 
utilizator Linux novice pe un sistem acasă, atunci folosiți utilitarul grafic 
care este dat de distribuție. Asta vă va asigura că nu veți întîmpina probleme. 


O altă opțiune este să folosiți unelte linie de comandă ca useradd, usermod, 
gpasswd şi altele. Administratorii de servere sînt predispuşi să utilizeze 

aceste unelte, deoarece ele sînt familiare şi similare în multe distribuții 
diferite. Acest capitol se va focaliza pe aceste unelte de linie de comandă. 


O a treia şi mai degrabă extremistă cale este să editați fişierele locale de 
configurare în mod direct folosind vi (sau vipw/vigr). Nu încercați asta ca 
novice pe sisteme de producție! 


2.2. /etc/passwd 


Baza de date a utilizatorilor locali pe Linux (şi pe cele mai multe Unix-uri) 
este /etc/passwd. 


[rootQRHEL5 -]% tail /etc/passwd 

inge:x:518:524:art dealer: /home/inge: /bin/ksh 
ann:x:519:525:flute player: /home/ann: /bin/bash 
frederik:x:520:526:rubius poet: /home/frederik:/bin/bash 
steven:x:521:527:roman emperor: /home/steven: /bin/bash 
pascale:x:522:528:artist: /home/pascale: /bin/ksh 
geert:x:524:530:kernel developer: /home/geert: /bin/bash 
wim:x:525:531l:master damuti: /home/wim: /bin/bash 
sandra:x:526:532:radish stresser: /home/sandra: /bin/bash 
annelies:x:527:533:sword fighter: /home/annelies: /bin/bash 
laura:x:528:534:art dealer: /home/laura: /bin/ksh 


Precum puteţi vedea, acest fişier conține şapte coloane separate de două puncte. 
Coloanele conțin numele utilizatorului, un X, user id, grupul id primar, o 
descriere, numele directorului home, şi shell-ul de login. 


Mai multe informații pot fi găsite tastînd man 5 passwd. 


[rootQRHEL5 =]4 man 5 passwd 
2.3. root 


Utilizatorul root deasemeni numit superuser este cel mai puternic cont pe 
sistemul Linux. Acest utilizator poate face aproape orice, incluzînd crearea de 
alți utilizatori. Utilizatorul root are întotdeauna userid 0 (neavînd importanţă 
numele contului). 


[rootQRHEL5 =]4 head -1 /etc/passwd 
root:x:0:0:root:/root:/bin/bash 


2.4. useradd 
Puteți adăuga utilizatori cu comanda useradd. Exemplul de mai jos arată cum să 
adăugăm un utilizator numit yanina (ultimul parametru) şi în acelaşi timp să 


forțăm crearea directorului home (-m), setînd numele directorului home (-d), şi 
setînd o descriere (-c). 
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[rootâRHEL5 -]4 useradd -m -d /home/yanina -c "yanina wickmayer" yanina 
[rootQRHEL5 =] tail -1 /etc/passwd 
yanina:x:529:529:yanina wickmayer: /home/yanina: /bin/bash 


Utilizatorul numit yanina a primit userid 529 şi grupul primar id 529. 
2.5. /etc/default/useradd 


Şi Red Hat Enterprise Linux şi Debian/Ubuntu au un fişier numit 
/etc/default/useradd care conține unele opțiuni utilizator default. în afară că 
puteți folosi cat pentru a afişa acest fişier, se poate folosi useradd -D. 


[rootQRHEL4 -]% useradd -D 
GROUP=100 

HOME= /home 

INACTIVE=-1 

EXPIRE= 

SHELL=/bin/bash 
SKEL=/etc/skel 


2.6. userdel 


Puteți şterge utilizatorul yanina cu userdel. Opțiunea -r a userdel va şterge şi 
directorul home. 


[rootQRHEL5 -]% userdel -r yanina 
2.7. usermod 


Puteți modifica proprietățile unui utilizator cu comanda usermod. Acest exemplu 
foloseşte usermod pentru a schimba descrierea utilizatorului harry. 


[rootQRHELA4 -]t tail -1 /etc/passwd 
harry:x:516:520:harry potter:/home/harry:/bin/bash 
[rootQRHELA4 -]% usermod -c 'wizard!' harry 
[rootQRHELA4 -]t tail -1 /etc/passwd 
harry:x:516:520:wizard: /home/harry:/bin/bash 


2.8. creare directoare home 


Cea mai uşoară modalitate de a crea un director home este de a furniza opțiunea 
-m cu useradd (este probabil setată ca opțiune default pe Linux). 


O modalitate mai puțin uşoară este crearea unui director home manual cu mkdir 
care de asemeni cere setarea proprietarului şi a permisiunilor pe director cu 
chmod şi chown (ambele comenzi sînt discutate în detaliu într-un alt capitol). 


[rootQRHEL5 =]4 mkdir /home/laura 

[rootQRHEL5 =-]% chown laura:laura /home/laura 
[rootQRHEL5 =-]% chmod 700 /home/laura 

[rootQRHEL5 =]4 1s -ld /home/laura/ 

drwx-=—==— 2 laura laura 4096 Jun 24 15:17 /home/laura/ 


2.9. /etc/skel/ 
Cînd folosiți useradd cu opțiunea -m, directorul /etc/skel este copiat la noul 


director home. Directorul /etc/skel conține unele fişiere (de obicei ascunse) 
care conțin setări profil şi valori default pentru aplicații. În acest mod 
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/etc/skel serveşte ca un director home default şi ca un profil utilizator 
default. 


[rootQRHEL5 =]4 1s -la /etc/skel/ 

total 48 

drwxr-xr-x 2 root root 4096 Apr 1 00:11. 
drwxr-xr-x 97 root root 12288 Jun 24 15:36 .. 


-rw-r--r-- 1 root root 24 Jul 12 2006 .bash_logout 
-rw-r--r-- 1 root root 176 Jul 12 2006 .bash profile 
-rw-r--r-- 1 root root 124 Jul 12 2006 .bashrc 


2.10. ştergere directoare home 


Opţiunea -r a userdel va asigura că directorul home este şters împreună cu 
contul de utilizator. 


[rootQRHEL5 =-]% Is -ld /home/wim/ 

drwx-————- 2 wim wim 4096 Jun 24 15:19 /home/wim/ 
[rootQRHEL5 -]% userdel -r wim 

[rootQRHEL5 =-]% Is -ld /home/wim/ 

1s: /home/wim/: No such file or directory 


2.11. shell login 


Fişierul /etc/passwd specifică shetll-ul login pentru utilizator. în captura de 
ecran de mai jos puteți vedea că utilizatorul annelies se va loga în shell-ul 
/bin/bash, şi utilizatorul laura cu shell-ul /bin/ksh. 


[rootQRHEL5 =] tail -2 /etc/passwd 
annelies:x:527:533:sword fighter: /home/annelies:/bin/bash 
laura:x:528:534:art dealer: /home/laura: /bin/ksh 


Puteți folosi comanda usermod pentru a schimba shell-ul pentru un utilizator. 


[rootQRHEL5 =]4 usermod -s /bin/bash laura 
[rootQRHEL5 =] tail -1 /etc/passwd 
laura:x:528:534:art dealer: /home/laura: /bin/bash 


2.12. chsh 


Utilizatorii pot shimba shell-ul lor de login cu comanda chsh. Mai întîi, 
utilizatorul harry obține o listă a shell-urilor disponibile (el ar putea să 
execute cat /etc/shells) şi apoi să schimbe shell-ul lui de login în shetl-ut 
Korn (/bin/ksh). La următorul login, harry va avea ca default ksh în loc de 
bash. 


[lauraâcentos7 -]$ chsh -1 
/bin/sh 

/bin/bash 
/sbin/nologin 
/usr/bin/sh 
/usr/bin/bash 
/usr/sbin/nologin 
/bin/ksh 

/bin/tesh 

/bin/csh 
[lauraâcentos7 -]$ 
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Notați că opțiunea -l nu există pe Debian şi că captura de ecran de mai sus 
asumă că shell-urile ksh şi csh sînt instalate. 


Captura de ecran de mai jos arată cum laura îşi poate shimba shell-ul default 
(activ la următorul login). 


[lauraâcentos7 -]$ chsh -s /bin/ksh 
Changing shell for laura. 

Password: 

Shell changed. 
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2.13. practică: management utilizator 

1. Creați un cont utilizator numit serena, incluzînd un director home şi o 
descriere (sau comentariu) care citeşte Serena Williams. Faceţi toate acestea cu 
o singură comandă. 


2. Creați un utilizator numit venus, incluzînd un director home, shell bash, o 
descriere care citeşte Venus Williams toate într-o singură comandă. 


3. Verificaţi dacă ambii utilizatori au intrările corecte în /etc/passwd, 
/etc/shadow şi /etc/group. 


4. Verificaţi dacă directoarele lor home au fost create. 

5. Creați un utilizator numit einstime cu shell-ul de logon default /bin/date. 
6. Ce se întîmplă cînd intrați în sistem cu utilizatorul einstime? Vă puteţi 
gîndi la un exemplu folositor din viața reală pentru a schimba un shell login a 


unui utilizator la o aplicație? 


7. Creați un fişier numit welcome.txt şi asigurați-vă că fiecare utilizator nou 
va vedea acest fişier în directorul lor home. 


8. Verificaţi acest setup creînd (şi ştergînd) un cont utilizator test. 


9. Schimbaţi shell-ul de Login default pentru utilizatorul serena în /bin/bash. 
Verificaţi înainte şi după ce faceți această schimbare. 
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2.14. soluție: management utilizator 


1. Creați un cont utilizator numit serena, incluzînd un director home şi o 
descriere (sau comentariu) care citeşte Serena Williams. Faceţi toate astea cu o 
singură comandă. 


rootQdebian7:-4 useradd -m -c 'Serena Williams! serena 


2. Creați un utilizator numit venus, incluzînd un director home, shell bash, o 
descriere care citeşte Venus Williams toate într-o singură comandă. 


rootâdebian7:-4 useradd -m -c "Venus Williams" -s /bin/bash venus 


3. Verificaţi dacă ambii utilizatori au intrările corecte în /etc/passwd, 
/etc/shadow şi /etc/group. 


rootâdebian7:-4 tail -2 /etc/passwd 
serena:x:1008:1010:Serena Williams: /home/serena: /bin/sh 
venus:x:1009:1011:Venus Williams: /home/venus: /bin/bash 
rootedebian7:-t tail -2 /etc/shadou 

serena: !1:16358:0:99999;7::: 

venus: !1:16358:0:99999:7:;:: 

rootedebian7:-4 tail -2 /etc/group 

serena:x:1010: 

venus:x:1011: 


4. Verificaţi dacă directoarele lor home au fost create. 


rootâdebian7:-4 ls -lrt /home | tail -2 

drwxr-xr-x 2 serena serena 4096 Oct 15 10:50 serena 
drwxr-xr-x 2 venus venus 4096 Oct 15 10:59 venus 
rootedebian7: = 


5. Creați un utilizator numit einstime cu shell-ul de logon default /bin/date. 
rootâdebian7:-4 useradd -s /bin/date einstime 

Sau şi mai bine: 

rootâdebian7:-% useradd -s $(which date) einstime 

6. Ce se întîmplă cînd intrați în sistem cu utilizatorul einstime? Vă puteţi 
gîndi la un exemplu folositor din viața reală pentru a schimba un shell login a 


unui utilizator la o aplicație? 


rootâdebian7:-4 su - einstime 
Wed Oct 15 11:05:56 UTC 2014 4 Obţineţi o ieşire a comenzii date 
rootâdebian7:-i 


Poate fi folositor cînd utilizatorii au nevoie să acceseze doar o singură 
aplicaţie pe server. Doar logîndu-se aplicația li se deschide, şi închizând 
aplicația în mod automat îi deloghează. 


7. Creați un fişier numit welcome.txt şi asigurați-vă că fiecare utilizator nou 
va vedea acest fişier în directorul lor home. 


rootQdebian7:-/ echo Hello > /etc/skel/welcome.txt 


8. Verificaţi acest setup creînd (şi ştergînd) un cont utilizator test. 
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rootQdebian7:-% useradd -m test 

rootQdebian7:-4 ls -l /home/test 

total 4 

-rw-r--r-- 1 test test 6 Oct 15 11:16 welcome.txt 
rootâdebian7:-t userdel -r test 

rootedebian7: = 


9. Schimbaţi shell-ul de Login default pentru utilizatorul serena în /bin/bash. 
Verificaţi înainte şi după ce faceți această schimbare. 


rootâdebian7:-4 grep serena /etc/passwd 
serena:x:1008:1010:Serena Williams: /home/serena: /bin/sh 
rootQdebian7:-4 usermod -s /bin/bash serena 
rootedebian7:-t grep serena /etc/passwd 
serena:x:1008:1010:Serena Williams: /home/serena: /bin/bash 
rootedebian7: = 
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Capitolul 3. parole utilizator 
Acest capitol vă va spune mai multe despre parole pentru utilizatori locali. 


Trei metode pentru setarea parolelor sînt explicate; folosind comanda passwd, 
folosind openssl passwd, şi folosind funcția crypt într-un progran C. 


Capitolul va discuta de asemeni setarea şi anularea parolelor, suspendarea sau 
blocarea conturilor. 
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3.1. passwd 


Parolele utilizatorilor pot fi setate cu comanda passwd. Utilizatorii vor trebui 
să introducă parola lor veche înainte de a o scrie pe cea nouă de două ori. 


[taniaecentos7 -]$ passwd 

Changing password for user tania. 

Changing password for tania. 

(current) UNIX password: 

New password: 

BAD PASSWORD: The password is shorter than 8 characters 
New password: 

BAD PASSWORD: The password is a palindrome 

New password: 

BAD PASSWORD: The password is too similar to the old one 
passwd: Have exhausted maximum number of retries for service 


După cum puteți vedea, utilitarul passwd va face o verificare de bază pentru a 
preveni utilizatorii să folosească parole prea simple. Utilizatorul root nu 
trebuie să urmeze aceste reguli (va exista un avertisment totuşi). Utilizatorul 
root de asemeni nu trebuie să introducă vechea parolă înainte de a tasta noua 
parolă de două ori. 


rootedebian7:-t passwd tania 

Enter new UNIX password: 

Retype new UNIX password: 

passwd: password updated successfully 


3.2. fişierul shadow 


Parolele utilizatorilor sînt criptate şi păstrate în /etc/shadow. Fişierul 
/etc/shadow are drepturi doar de citire şi poate fi citit doar de root. Vom 
vedea în secțiunea permisiuni fişier cum este posibil pentru utilizatori să îşi 
schimbe parola lor. Deocamdată, trebuie să ştiţi că utilizatorii îşi pot schimba 
parola lor cu comanda /usr/bin/passwd. 


[rootecentos7 -]t tail -4 /etc/shadou 

paul: Ș6Șikp2Xta5BT.Tml.pȘ2TZjNNOYNNQKpwLIqgoGIJbvsZzG5/Fti8ovBRd.VzRbiDS17TEqg)| 
TaSMH. TeBKnTS/S;j lMruw8qf fCOINORW.BTW1:16338:0:99999:7::: 

tania: $6$8Z/zovxj Ș$9qvogT8i9KIrmN. k4EQwAF5ryz5yzNwEvYj Aa9L5XVXQu. z4DIpvMREHI 
eQpQzvRngFdKkVj 17H5ST . c79HDZw0:16356:0:99999:7::: 

laura: $6$glDuTY5e$/NYYWLxfHgZFweouj aXSMcR.Mz. LGOxtcxFocFVINb98nbTPhWFXFKWG1 
SyYh1WCv6763Wq54 .w24Y r3uAZBOm/ :16356:0:99999:7:::; 

valentina: $6ȘjrZa6PVIȘ1uQgqR6EN9mZB6mKI3LXRB4CnFko6LRhbh. v4iqUk9MVreui lv?) 
GxHOUDSKAON55ZRNhGHa6T2ouFnVno/001:16356:0:99999:7:;:: 

[rootâcentos7 -]t 


Fişierul /etc/shadow conține nouă două puncte (:) separate. Cele nouă cîmpuri 
conțin (de la stînga la dreapta) numele utilizatorului, parola criptată, ziua în 
care parola a fost ultima dată schimbată (ziua 1 reprezentînd 1 ianuarie 1970), 
numărul de zile în care parola trebuie lăsată neschimbată, ziua expirării 
parolei, avertizarea numărului de zile înainte ca parola să expire, numărul de 
zile după expirare înainte de ştergerea contului, şi ziua cînd contul a fost 
şters (din nou, din 1970). Nu explicăm încă ultimul cîmp. 


Toate parolele din captura de ecran de mai sus sînt hash-uri a hunter2. 
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3.3. criptare cu passwd 


Parolele sînt stocate într-un format criptat. Această criptare este făcută de 
funcţia crypt. Cea mai uşoară (şi recomandată) modalitate de a adăuga un 
utilizator cu o parolă la sistem este să se adauge utilizatorul cu comanda 
useradd -m utilizator, şi apoi să se seteze parola utilizatorului cu passwd. 


[rootQRHELA -]4 useradd -m xavier 

[rootQRHELA4 -]% passwd xavier 

Changing password for user xavier. 

New UNIX password: 

Retype new UNIX password: 

passwd: all authentication tokens updated successfully. 
[rootQRHELA -]% 


3.4. criptare cu opensstl 


O altă modalitate de a crea utilizatori cu o parolă este să folosim opțiunea -p 
a useradd, dar acea opţiune cere o parolă criptată. Puteţi genera această parolă 
criptată cu comanda openssl passwd. 


Comanda openssl passwd va genera cîteva hash-uri distincte pentru aceeaşi 
parolă, iar pentru asta foloseşte un salt. 


paulerhel65:-$ openssl passwd hunter2 
86j cUNInGDFpY 
paulerhel65:-$ openssl passwd hunter2 
Yj 7mDO90Anva6 
paulerhel65:-$ openssl passwd hunter2 
YqDcJeGoDbzKA 
paulerhel65:-$ 


Salt-ul poate fi ales şi este vizibil ca primele două caractere ale hash-ului. 


paulerhel65:-$ openssl passwd -salt 42 hunter2 


42ZrbtP1Ze8G. 
paulerhel65:-$ openssl passwd -salt 42 hunter2 
42ZrbtP1Ze8G. 
paulerhel65:-$ openssl passwd -salt 42 hunter2 
42ZrbtP1Ze8G. 


paulerhel65:-ș 

Acest exemplu arată cum să creăm un utilizator cu parolă. 
rooterhel65:-t useradd -m -p $(openssl passwd hunter2) mohamed 
Notați că această comandă pune parola în istoria comenzilor! 
3.5. criptare cu crypt 


O a treia opțiune este să creați propriul program C folosind funcția crypt, şi 
să compilați aceasta într-o comandă. 
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paulQrhe165:-$ cat MyCrypt.c 
include <stdio.h> 

+define __USE_XOPEN 

zinc lude <unistd.h> 


int main(int argc, char** argv) 


tara accea 
printf("%sin", crypt(argv[1],argv[2])); 
else 
printf("Usage: MyCrypt $password $saltin" ); 
return 0; 
) 


Acest mic program poate fi compilat cu gec astfel. 


paulerhel65:-$ gcc MyCrypt.c -o MyCrypt -lcrypt 


Pentru a-l utiliza, trebuie să dăm doi parametri la MyCrypt. Primul este parola 
necriptată, al doilea este salt-ul. Salt-ul este folosit pentru a perturba 
algoritmul de criptare în unul din 4096 de modalități diferite. Această variație 
previne doi utilizatori cu aceeaşi parolă să nu aibă aceeaşi intrare în 
/etc/shadow. 


paulerhel65:-$ ./MyCrypt hunter2 42 
42ZrbtP1Ze8G. 
paulerhel65:-$ ./MyCrypt hunter2 33 
33d6taYSiEUXI 


Ați observat că primele două caractere ale parolei este salt-ul? 


Ieşirea standard a funcției crypt foloseşte algoritmul DES care este vechi şi 
poate fi spart în cîteva minute. 0 metodă mai bună este folosirea parolelor md5 
care pot fi recunoscute de un salt începînd cu $I1$. 


paulerhel65:-$ ./MyCrypt hunter2 '1$1$42' 

$1$42$716Y3xT5282XmZrtDOF9f0 

paulerhel65:-$ ./MyCrypt hunter2 '$6$42' 
$6$42$0gFFAVNI3gTSYGOyI9TZWX9cpyQzwIop7HwpG1LLESNBiMr4w60vLX1KDa. /UpwXfrFkli... 


Salt-ul md5 poate fi de o lungime de pînă la opt caractere. Salt-ul este afişat 
în /etc/shadow între al doilea şi al treilea $, aşa că nu folosiți niciodată 
parola ca salt! 


paulerhel65:-$ ./MyCrypt hunter2 '$1$hunter2! 
$1$hunter2$YVxrxDmidq7Xf8Gdt6qM2. 


3.6. /etc/login.defs 
Fişierul /etc/login.defs conține unele setări default pentru parole utilizator 
ca setările pentru parole, învechire şi lungime. (Veţi afla de asemeni limitele 


numerice a user id şi grup id şi dacă un director home ar trebui creat prin 
default sau nu). 
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rooterhel65:-4 grep APASS /etc/login.defs 
PASS_MAX_DAYS 99999 

PASS_MIN_DAYS 0 

PASS_MIN_LEN 5 

PASS_WARN_AGE 7 


Debian are de asemeni acest fişier. 


rootedebian7:-4 grep PASS /etc/login.defs 


i PASS_MAX_DAYS Maximum number of days a password may be used. 

4 PASS_MIN_DAYS Minimum number of days allowed between password changes. 
4 PASS_WARN_AGE Number of days warning given before a password expires. 
PASS_MAX_DAYS 99999 

PASS_MIN_DAYS (0) 

PASS_WARN_AGE 7 


+PASS_CHANGE_TRIES 
+PASS_ALWAYS_WARN 
+PASS_MIN_LEN 
+PASS_MAX_LEN 

+ NO_PASSWORD_CONSOLE 
rootedebian7: = 


3.7. chage 


Comanda chage poate fi utilizată pentru a seta o dată a expirării pentru un cont 
utilizator (-E), setarea unei învechiri a parolei minimum (-m) şi maximum (-M), 
o dată a expirării parolei, şi setarea unui număr de zile de avertisment înainte 
de data expirării parolei. Mult din această funcționalitate este de asemeni 
disponibilă din comanda passwd. Opţiunea -l a chage va lista aceste setări 
pentru un utilizator. 


rooterhel65:-+ chage -1 paul 


Last password change : Mar 27, 2014 
Password expires : never 
Password inactive : never 
Account expires : never 
Minimum number of days between password change :. 0 

Maximum number of days between password change : 99999 

Number of days of warning before password expires RT A 


rooterhel65:-4 
3.8. dezactivarea unei parole 


Parolele în /etc/shadow nu pot începe cu un semn al exclamării. Cînd al doilea 
cîmp în /etc/passwd începe cu un semn al exclamării, atunci parola nu poate fi 
utilizată. 


Folosirea acestei proprietăți este deseori numită blocarea, dezabilitarea sau 
suspendarea unui cont utilizator. În afară de vi (sau vipw) puteți de asemeni 
face acestea cu usermod. 


Prima comandă în următoarea captură de ecran va afişa parola hash a lui laura în 
/etc/shadow. Următoarea comandă dezabilitează parola lui laura, făcînd imposibil 
pentru laura să se autentifice folosind această parolă. 


rootedebian7:-4 grep laura /etc/shadow | cut -c1-70 


laura: $6$IJYj4IJZap$stwwWACp3OtE1R2aZuE87j .nbW. puDkNUYVk7mCHfCVMa3CoDUIV 
rootâdebian7:-4 usermod -L laura 
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Precum puteţi vedea mai jos, hash-ul parolei este precedat doar de un semn al 
exclamării. 


rootedebian7:-% grep laura /etc/shadow | cut -c1-70 
laura: !$6$JYj4JZgp$stwwWACp30tE1R2aZuE87j . nbW. puDkNUYVk7mCHfCVMa3CoDUJ 
rootedebian7:-+ 


Utilizatorul root (şi utilizatori cu drepturi sudo asupra su) încă se vor putea 
loga cu contul su laura (pentru că parola nu este necesară aici). De asemeni 
notați că laura va fi în continuare capabilă să intre în sistem dacă ea a setat 
ssh fără parolă! 


rootedebian7:-% su - laura 
lauraadebian7:-$ 


Puteți să deblocați contul din nou cu usermod -uU. 


rootâdebian7:-4 usermod -U laura 
rootedebian7:-% grep laura /etc/shadow | cut -c1-70 
laura: $6$JYj4JZap$stwwWACp3O0tE1R2aZuE87)j . nbW. puDkNUYVk7mCHfCVMa3CoDUIV 


Atenţie la micile diferenţe a opţiunilor în linia de comandă a passwd, usermod, 
şi useradd pe distribuții Linux diferite. Verificaţi fişierele locale cînd 
folosiți setări ca „dizabilitarea, suspendarea, sau blocarea” conturilor 
utilizator şi a parolelor lor. 


3.9. editarea fişierelor locale 
Dacă încă doriți să editați manual /etc/passwd sau /etc/shadow, după ce 
cunoaşteţi aceste comenzi pentru managementul parolei, atunci folosiți direct 


vipw în loc de vi(m). Utilitarul vipw va face o blocare standard a fişierului. 


[rooteRHEL5 -]4 vipw /etc/passwd 
vipw: the password file is busy (/etc/ptmp present) 
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3.10. practică: parole utilizator 

1. Setați parola pentru serena la hunter2. 

2. De asemeni setaţi o parolă pentru venus şi apoi blocați contul de utilizator 
venus cu usermod. Verificaţi blocarea în /etc/shadow înainte şi după ce o 


blocați. 


3. Folosiţi passwd -d pentru a invalida parola lui serena. Verificaţi linia lui 
serena în /etc/shadow înainte şi după invalidare. 


4. Care este diferența dintre blocarea unui cont utilizator şi dezactivarea unei 
parole a unui utilizator precum tocmai am făcut cu usermod -L şi passwd -d? 


5. încercați să schimbaţi parola lui serena la serena ca serena. 
6. Asiguraţi-vă că serena trebuie să-şi schimbe parola în 10 zile. 


7. Asiguraţi-vă că fiecare utilizator nou trebuie să-şi schimbe parola la 
fiecare 10 zile. 


8. Faceți un backup ca root a /etc/shadow. Folosiţi vi pentru a copia hash-ul 
criptat hunter2 de la venus la serena. Poate serena să se logheze acum cu 
hunter2 ca parolă? 


9. De ce să utilizăm vipw în loc de vi? Care ar fi problema cînd utilizăm vi sau 
vim? 


10. Folosiţi chsh pentru a lista toate shell-urile (funcționează doar pe 
RHEL/CentOS/Fedora), şi comparaţi cu cat/etc/shelils. 


11. Care opțiune a useradd vă permite să denumiți un director home? 


12. Cum puteți vedea dacă parola utilizatorului serena este blocată sau 
deblocată? Daţi o soluţie cu grep şi o soluție cu passwd. 
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3.11. soluţie: parole utilizator 


1. Setați parola pentru serena la hunter2. 


rootâdebian7:-4 passwd serena 

Enter new UNIX password: 

Retype new UNIX password: 

passwd: password updated successfully 


2. De asemeni setaţi o parolă pentru venus şi apoi blocaţi contul de utilizator 
venus cu usermod. Verificaţi blocarea în /etc/shadow înainte şi după ce o 
blocaţi. 


rootedebian7:-t passwd venus 

Enter new UNIX password: 

Retype new UNIX password: 

passwd: password updated successfully 

rootedebian7:-4 grep venus /etc/shadow | cut -c1-70 

venus: $6$gswzXICWȘuSnKFVI1kFKZmTPaMVS4AvNA/K027O0xNOv5LHdV9edogTyXrjUeM/ 
rootâdebian7:-4 usermod -L venus 

rootedebian7:-4 grep venus /etc/shadow | cut -c1-70 

venus: !$6$gswzXICW$uSnKFVILkFKZmTPaMVS4AvNA /KO27O0xNOv5LHdV9edogTyXrjUeM 


Notați că usermod -L precede hash-ul parolei cu un semn de exclamație (!). 


3. Folosiţi passwd -d pentru a invalida parola lui serena. Verificaţi linia lui 
serena în /etc/shadow înainte şi după invalidare. 


rootedebian7:-4 grep serena /etc/shadow | cut -c1-70 

serena: Ș6ȘEs/omrPEŞF2Ypu8kpLrfKdwWov /UIwA5j rYyBD2nwZ /dt. i /IypRgiPZSdB/B 
rootQdebian7:-4 passwd -d serena 

passwd: password expiry information changed. 

rootedebian7:-t grep serena /etc/shadow 

serena: :16358:0:99999:7::: 

rootedebian7: = 


4. Care este diferența dintre blocarea unui cont utilizator şi invalidarea unei 
parole a unui utilizator precum tocmai am făcut cu usermod -L şi passwd -d? 


Blocarea va preveni utilizatorul să intre în sistem cu parola lui punînd un ! în 
fața parolei în /etc/shadow. 


Invalidarea cu passwd va şterge parola din /etc/shadow. 

5. încercați să schimbaţi parola lui serena la serena ca serena. 
logaţi-vă ca serena, apoi executaţi: passwd serena .. ar trebui să eşueze! 
6. Asiguraţi-vă că serena trebuie să-şi schimbe parola în 10 zile. 

chage -M 10 serena 


7. Asiguraţi-vă că fiecare utilizator nou trebuie să-şi schimbe parola la 
fiecare 10 zile. 


vi /etc/login.defs (şi schimbaţi PASS_MAX_DAYS la 10) 
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8. Faceți un backup ca root a /etc/shadow. Folosiţi vi pentru a copia hash-ul 
criptat hunter2 de la venus la serena. Poate serena să se logheze acum cu 
hunter2 ca parolă? 

Da. 


9. De ce să utilizăm vipw în loc de vi? Care ar fi problema cînd utilizăm vi sau 
vim? 


vipw va transmite un mesaj de avertizare cînd altcineva foloseşte deja acel 
fişier (cu vipw). 


10. Folosiţi chsh pentru a lista toate shell-urile (funcționează doar pe 
RHEL/CentOS/Fedora), şi comparaţi cu cat/etc/shelils. 


chsh -1 
cat /etc/shells 


11. Care opțiune a useradd vă permite să denumiți un director home? 
-d 


12. Cum puteți vedea dacă parola utilizatorului serena este blocată sau 
deblocată? Daţi o soluţie cu grep şi o soluție cu passwd. 


grep serena /etc/shadow 


passwd -S serena 
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Capitolul 4. profile utilizator 


Utilizatorii intraţi în sistem au un număr de aliasuri, variabile, şi funcţii 
presetate (şi prestabilite), dar de unde vin ele? Shetll-ul foloseşte un număr de 
fişiere startup care sînt executate (sau mai degrabă făcute sursă) oricînd 
shell-ul este invocat. Ceea ce urmează este o trecere în revistă a script-urilor 
startup. 
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4.1. profil sistem 


Shell-urile bash şi ksh, ambele, vor verifica existența /etc/profile şi le va 
face sursă dacă el există. 


Cînd citiți acest script, veți observa (şi pe Debian şi pe Red Hat Enterprise 
Linux) că construieşte variabila PATH mediu (printre altele). Scriptul ar putea 
de asemeni să schimbe variabila PS1, să seteze HOSTNAME şi să execute chiar mai 
multe scripturi ca /etc/inputrc. 


Această captură de ecran foloseşte grep pentru a arăta manipularea PATH în 
/etc/profile pe Debian. 


rootQdebian7:-% grep PATH /etc/profile 

PATH="/usr/locatl/sbin: /usr/local/bin:/usr/sbin: /usr/bin:/sbin:/bin" 
PATH="/usr/local/bin:/usr/bin:/bin:/usr/local/games: /usr/games" 
export PATH 

rootedebian7:-+ 


Această captură de ecran foloseşte grep pentru a arăta manipularea PATH în 
/etc/profile pe RHEL7/CentoOS7. 


[rootâcentos7 =] grep PATH /etc/profile 
case ":Ș(PATHI:" în 
PATH=$PATH: ŞI 
PATH=$1: $PATH 
export PATH USER LOGNAME MAIL HOSTNAME HISTSIZE HISTCONTROL 
[rootecentos7 =]+4 


Utilizatorul root poate folosi acest script pentru a seta aliasuri, funcții, şi 
variabile pentru fiecare utilizator pe sisten. 


4.2. -/.bash profile 


Cînd acest fişier există în directorul home, atunci bash va face sursă din el. 
Pe Debian Linux 5/6/7 acest fişier nu există prin default. 


RHEL7/CentOS7 foloseşte un mic -/.bash profile unde caută existența -/.bashrc şi 
apoi face sursă din el. El de asemeni adaugă $HOME/bin la variabila $PATH. 


[rooterhel7 -]% cat /home/paut/.bash_profile 
4 .bash_profile 


4 Get the aliases and functions 
if [ -f =/.bashrc ]; then 
„ */.bashrc 
fi 
i User specific environment and startup programs 


PATH=Ș$PATH: $HOME /. lLocal/bin:$HOME/bin 


export PATH 
[rooterhel7 -]+ 
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4.3. -/.bash_ login 


Cînd .bash profile nu există, atunci bash va căuta -/.bash login şi va face 
sursă din el. 


Nici Debian nici Red Hat nu au acest fişier ca default. 
4.4. -/.profile 


Cînd nici -/.bash profile nici -/.bash_ login nu există, atunci bash va verifica 
existența -/.profile şi îl va executa. Acest fişier nu există prin default pe 
Red Hat. 


Pe Debian acest script poate executa -/.bashrc şi va adăuga $HOME/bin la 
variabila $PATH. 


rootedebian7:-t tail -11 /home/paul/.profile 
if [ -n "ȘBASH_VERSION" ]; then 

4 include .bashrc if it exists 
if [ —f "S$HOME/.bashre" ]; then 
"SHOME/ .bashre" 

fi 


fi 

4 set PATH so it includes user's private bin if it exists 
if [ -d "Ș$HOME/bin" ] ; then 
PATH="$HOME/bin: $PATH" 

fi 

RHEL/CentOS nu au acest fişier ca default. 

4.5. -/.bashrc 


Scriptul -/.bashrc este deseori făcut sursă de către alte script-uri. Să ne 
uităm la ce face prin default. 


Red Hat foloseşte un foarte simplu -/.bashrc căutînd /etc/bashre şi făcînd sursă 
din el. De asemeni lasă loc pentru aliasuri la comandă şi funcţii. 


[rooterhel7r -]+ cat /home/paut/.bashrc 
+ .bashrc 


Source global definitions 
if [ -f /etc/bashre ]; then 
/etc/bashrc 


fi 
+ Uncomment the following line if you don't Like systemctl's auto-paging 
feature: 


+ export SYSTEMD_PAGER= 


4 User specific aliases and functions 


Pe Debian acest script este un pic mai lung şi configurează $PS1, unele 
variabile history şi un număr de aliasuri active şi inactive. 
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rootedebian7:-t wc -l /home/paul/.bashrc 
110 /home/paul/.bashrce 


4.6. -/.bash_ logout 
Cînd ieşim din bash, el poate executa -/.bash_ logout. 


Debian foloseşte această oportunitate pentru a curăța ecranul consolei. 


serenaQdeb503:-$ cat .bash_logout 
i »/.„bash_logout: executed by bash(1) when login shell exits. 


4 when leaving the console clear the screen to increase privacy 


if [ "ȘSHLVL" = 1 ]; then 
[ -x /usr/bin/clear_console |] && /usr/bin/clear_console -q 
fi 
Red Hat Enterprise Linux 5 va invoca comanda /usr/bin/clear în acest script. 


[serenaarhel53 -]$ cat .bash_logout 
4 -/.bash_logout 


/usr/bin/clear 


Red Hat Enterprise Linux 6 şi 7 crează acest fişier, dar îl lasă gol (cu 
excepția unui comentariu). 


paulQrhe165:-$ cat .bash_ logout 
4 -/.bash_logout 


4.7. descriere Debian 


Mai jos este o descriere în tabel cînd Debian rulează oricare dintre aceste 
scripturi bash de startup. 


Tabelul 4.1. mediu utilizator Debian 


script su su - ssh  gdm 
-./bashrc nu da da da 
-/.profile nu da da da 
/etc/profile nu da da da 
/etc/bash.bashrc da nu nu da 


4.8. descriere RHEL5 


Mai jos este o descriere în tabel cînd Red Hat Enterprise Linux 5 rulează 
oricare dintre aceste scripturi bash de startup. 


Tabelul 4.2. mediu utilizator Red Hat 


script su su - ssh gdm 
-./bashrc da da da da 
-/.bash_profile nu da da da 
/etc/profile nu da da da 
/etc/bashrc da da da da 
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4.9. practică: profile utilizator 
1. Faceți o listă a tuturor fişierelor profil de pe sisten. 


2. Citiţi conținutul fiecăruia dintre acestea, deseori ele fac sursă unor extra 
script-uri. 


3. Puneţi o variabilă unică, alias şi funcţie în fiecare din acele fişiere. 

4. Încercaţi cîteva modalități diferite pentru a obține un shell (su, su -, ssh, 
tmux, gnome-terminal, Ctrl-Alt-F1, ..) şi verificați care dintre variabile, 
aliasuri şi funcții făcute la comandă sînt prezente în mediu. 


5. Ştiţi de asemeni ordinea în care ele sînt executate? 


6. Cînd o aplicație depinde de o setare în $HOME/.profile, contează dacă 
$HOME/.bash_profile există sau nu? 
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4.10. soluţie: profile utilizator 
1. Faceți o listă a tuturor fişierelor profil de pe sistenm. 
ls -a = ; ls -l /etc/prox /etc/bashx 


2. Citiţi conținutul fiecăruia dintre acestea, deseori ele fac sursă unor extra 
script-uri. 


3. Puneţi o variabilă unică, alias şi funcţie în fiecare din acele fişiere. 

4. Încercaţi cîteva modalități diferite pentru a obține un shell (su, su -, ssh, 
tmux, gnome-terminal, Ctrl-Alt-F1, ..) şi verificați care dintre variabile, 
aliasuri şi funcții făcute la comandă sînt prezente în mediu. 

5. Ştiţi de asemeni ordinea în care ele sînt executate? 


Unele aliasuri nume, funcţii şi variabile se vor suprascrie. 


6. Cînd o aplicație depinde de o setare în $HOME/.profile, contează dacă 
$HOME/.bash_profile există sau nu? 


Da, contează. (man bash /INVOCATION) 
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Capitolul 5. grupuri 


Utilizatorii pot fi listați în grupuri. Grupurile permit să setați permisiuni la 
nivelul grupului în loc să trebuiască să setați permisiuni pentru fiecare 
utilizator individual. 


Fiecare distribuție Unix sau Linux va avea un utilitar grafic să facă 
managementul grupurilor. Utilizatorii novici sînt sfătuiți să folosească acest 
utilitar grafic. Utilizatorii mai experimentați pot folosi utilitarele liniei de 
comandă pentru a face managementul utilizatorilor, dar fiţi atenți: unele 
distribuții nu permit utilizarea mixtă a utilitarelor GUI şi CLI pentru a face 
managementul grupurilor (YaST în Novel SuSE). Administratorii avansați pot edita 
fişierele relevante direct cu vi sau vigr. 
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5.1. groupadd 


Grupurile pot fi create cu comanda groupadd. Exemplul de mai jos arată crearea a 
cinci grupuri (goale). 


rootalaika:-t groupadd tennis 
rootalaika:-t groupadd football 
rootalaika:-t groupadd snooker 
rootalaika:-t groupadd formulal 
rootalaika:-t groupadd salsa 


5.2. fişier group 


Utilizatorii pot fi membri a mai multor grupuri. Totalitatea de grupuri este 
definită de către fişierul /etc/group. 


rootelaika:-4 tail -5 /etc/group 
tennis:x:1006: 

football:x:1007: 

snooker:x:1008: 

formulal:x:1009: 

salsa:x:1010: 

rootalaika:-t 


Primul câmp este numele grupului. Al doilea cîmp este parola (criptată) a 
grupului (poate fi goală). Al treilea cîmp este identificarea grupului sau GID. 
Al patrulea cîmp conține lista membrilor, aceste grupuri nu au membri. 


5.3. groups 


Un utilizator poate tasta comanda groups pentru a vedea o listă a grupurilor 
unde apaține utilizatorul. 


[harryeRHEL4b -]$ groups 
harry sports 
[harryeRHEL4b -]$ 


5.4. usermod 


Totalitatea grupurilor poate fi modificată cu comanda useradd sau usermod. 


rootalaika:=t usermod -a -G tennis inge 
rootalaika:-t usermod -a -G tennis katrien 
rootalaika:-t usermod -a -G salsa katrien 
rootelaika:-4 usermod -a -G snooker sandra 
rootalaika:-t usermod -a -G formulal annelies 
rootelaika:-4 tail -5 /etc/group 
tennis:x:1006:inge,katrien 
footbalL:x:1007: 

snooker:x:1008:sandra 
formulal:x:1009:annelies 
salsa:x:1010:katrien 

rootelaika:-t 


Fiți atenți cînd folosiţi usermod pentru a adăuga utilizatori la grupuri. Prin 
default, comanda usermod va şterge utilizatorul din orice grup din care el este 
membru dacă grupul nu este listat în comandă! Folosirea întrerupătorului -a 
(adaugă) previne acest comportament. 
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5.5. groupmod 


Puteți schimba numele grupului cu comanda groupmod. 


rootalaika:=t groupmod -n darts snooker 
rootelaika:-4 tail -5 /etc/group 
tennis:x:1006:inge,katrien 
footbalL:x:1007: 
formulal:x:1009:annelies 
salsa:x:1010:katrien 

darts:x:1008: sandra 


5.6. groupdel 


Puteți şterge permanent un grup cu comanda groupdel. 


rootalaika:-t groupdel tennis 
rootelaika:-t 


5.7. gpasswd 


Puteţi delega controlul totalității grupurilor la un alt utilizator cu comanda 
gpasswd. În exemplul de mai jos delegăm permisiunile pentru a adăuga şi şterge 
membri de grup la serena pentru grupul sports. Apoi folosim su la serena pentru 
a-l adăuga pe harry grupului sports. 


[rooteRHEL4b -]t gpasswd -A serena sports 
[rootQRHEL4b =] su - serena 

[serenaQRHEL4b -]$ id harry 

uid=516(harry) gid=520(harry) groups=520(harry) 
[serenagRHEL4b -]$ gpasswd -a harry sports 
Adding user harry to group sports 
[serenaQRHEL4b -]$ id harry 

uid=516(harry) gid=520(harry) groups=520(harry) ,522 (sports) 
[serenaQRHEL4b -]$ tail -1 /etc/group 
sports:x:522:serena,venus,harry 

[serenaQRHEL4b -]$ 


Administratorii de grup nu trebuie să fie un membru al grupului. Ei se pot 


şterge pe ei dintr-un grup, dar asta nu influiențează abilitatea lor de a adăuga 
sau şterge membri. 


[serenaQRHEL4b -]$ gpasswd -d serena sports 
Removing user serena from group sports 
[serenaQRHEL4b -]$ exit 


Fişierul /etc/gshadow păstrează informaţii despre administratorii de grup. 
[rooteRHEL4b =] tail -1 /etc/gshadow 
sports: !:serena:venus,harry 


[rootQRHEL4b -]+% 


Pentru a şterge toți administratorii de grup dintr-un grup, folosiți comanda 
gpasswd pentru a seta o listă goală de administratori. 


[rooteRHEL4b -]t gpasswd -A "" sports 
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5.8. 


Puteți da start unui shell child cu un nou grup primar temporar folosind comanda 


newgrp 


newgrp. 

rootârhel65:-+ mkdir prigroup 

rootârhel65:=-+ cd prigroup/ 

rootârhel65:-/prigroupt touch standard.txt 
rootârhel65:-/prigroupt Is -l 

total 0 

-rw-r--r--. 1 root root 0 Apr 13 17:49 standard.txt 
rooterhel65:-/prigroupt echo ȘSHLVL 

1 

rootârhel65:-/prigroupt newgrp tennis 
rootârhel65:-/prigroupt echo ȘSHLVL 

2 

rootârhel65:-/prigroupt touch newgrp.txt 
rootârhel65:-/prigroupt Is -l 

total 0 

-rw-r--r--. 1 root tennis 0 Apr 13 17:49 newgrp.txt 
-rw-r--r--. 1 root root O Apr 13 17:49 standard.txt 
rootârhel65:-/prigroupt exit 

exit 

rootârhe165:-/prigroupt 

5.9. vigr 


Similar cu vipw, comanda vigr poate fi folosită 
/etc/group, de vreme ce aceasta va bloca în mod 
administratorii seniori experimentați ar trebui 
a face managementul grupurilor. 


pentru a edita manual fişierul 
propriu fişierul. Doar 
să folosească vi sau vigr pentru 
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5.10. practică: grupuri 
1. Creați grupurile tennis, football şi sports. 


2. Cu o singură comandă, faceţi pe venus un membru a grupurilor tennis şi 
sports. 


3. Redenumiți grupul football în foot. 
4. Folosiţi vi pentru a adăuga serena la grupul tennis. 


5. Folosiţi comanda id pentru a verifica dacă serena este un membru a grupului 
tennis. 


6. Faceți pe cineva responsabil pentru managementul grupurilor foot şi sports. 
Testaţi dacă funcționează. 
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5.11. soluție: grupuri 
1. Creați grupurile tennis, football şi sports. 
groupadd tennis ; groupadd football ; groupadd sports 


2. Cu o singură comandă, faceţi pe venus un membru a grupurilor tennis şi 
sports. 


usermod -a -G tennis,sports venus 


3. Redenumiți grupul football în foot. 


groupmod -n foot football 


4. Folosiţi vi pentru a adăuga pe serena la grupul tennis. 
vi /etc/group 


5. Folosiţi comanda id pentru a verifica dacă serena este un membru a grupului 
tennis. 


id (şi după logoff şi logon serena ar trebui să fie membru) 


6. Faceți pe cineva responsabil pentru managementul grupurilor foot şi sports. 
Testaţi dacă funcționează. 


gpasswd -A (pentru a face un manager) 


gpasswd -a (pentru a adăuga un membru) 
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Partea II. securitate fişier 
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Conţinut 


000000 
OPUN HR 


IA NANA NAN 
OUBLUNDH 


00 00 00 00 00 00 00 09 


NODUIUBUVONHR 


OOO0OOoOOoOOoO 
NOD UI BUNR 


permisiunii fişier standard. 
proprietar fişier. 

listă a fişierelor speciale. 
permisiunii. E 

practică: permisiuni fişier standard. 
soluție: permisiuni fişier standard. 


permisiunii fişier avansate. 
sticky bit asupra unui director. 
setgid bit asupra unui director. 


setgid şi setuid asupra Mc. regulare. 


setuid asupra sudo. i 
practică: biții sticky, setuid şi setgid. 
soluție: biții sticky, setuid şi setgid. 


liste control acces. 

acl în /etc/fstab. 

getfacl. 

setfacl. 

ştergere a unei intrări acl. 
ştergere completă a acl. 

acl mask. 

eiciel. 


legături fişier. 

inod-uri. i 

despre directoare. 4 

legături depline (hard links). 
legături simbolice (soft links). 
ştergerea legăturilor. 

practică: legături. 

soluție: legături. 


48 


Capitolul 6. permisiuni fişier standard 


Acest capitol conține detalii despre securitatea de bază a fişierului prin 
intermediul proprietar fişier şi permisiuni fişier. 
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6.1. proprietar fişier 
6.1.1. proprietar utilizator şi proprietar grup 


Utilizatorii şi grupurile unui sistem pot fi aranjați local în /etc/passwd şi 
/etc/group, sau ei pot fi într-un domeniu NIS, LDAP sau Samba. Aceşti 
utilizatori şi grupuri pot deţine fişiere. În realitate, fiecare fişier are un 
utilizator proprietar şi un grup proprietar, aşa cum se poate vedea în 
următoarea captură de ecran. 


paulerhel65:-/owners$ Is -lh 


total 636K 

-rw-r--r--. 1 paul snooker 1.1K Apr 8 18:47 data.odt 
-rw-r--r--. 1 paul paul 626K Apr 8 18:46 filel 
-rw-r--r--. 1 root tennis 185 Apr 8 18:46 file2 
-rw-rw-r--. 1 root root 0 Apr 8 18:47 stuff.txt 


paulerhel65:-/owners$ 

Utilizatorul paul deține trei fişiere; file îl are pe paul ca proprietar 
utilizator şi grupul paul ca proprietar grup, data.odt este deţinut în grup de 
grupul snooker, file2 este deținut de grupul tennis. 


Ultimul fişier este denumit stuff.txt şi este deținut de utilizatorul root şi de 
grupul root. 


6.1.2. listare conturi utilizator 


Puteți folosi următoarea comandă pentru a lista toate conturile utilizatorilor 
locali. 


pauledebian7-$ cut -d: -f1l /etc/passwd | column 


root ntp sam bert naomi 
daemon mysql tom rino matthias2 
bin paul wouter antonio bram 

sys maarten robrecht simon fabrice 
sync kevin bilal sven chimene 
games yuri dimitri wouter2 messagebus 
man wi Lliam ahmed tarik roger 

1p yves dylan jan frank 
mail kris robin ian toon 
news hamid matthias ivan rinus 
UUuCcp vladimir ben azeddine eddy 
proxy abiy mike eric bram2 
www- data david kevin2 kamel keith 
backup chahid kenzo ischa jesse 
list stef aaron bart frederik 
irc joeri lorenzo omer hans 
gnats glenn jens kurt dries 
nobody yannick ruben steve steve2 
libuuid christof  jelle constantin  tomas 
Debian-exim george stefaan sam2 johan 
statd joost marc bjorn tom2 
sshd arno thomas ronald 


6.1.3. chgrp 


Puteţi schimba deținătorul grup a unui fişier folosind comanda chgrp. 
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rooterhel65: /home/paul/ownerst 1s -l file2 
-rw-r--r--. 1 root tennis 185 Apr 8 18:46 file2 
rootarhel65: /home/paul/ownerst chgrp snooker file2 
rooterhel65: /home/paul/ownerst 1s -l file2 
-rw-r--r--. 1 root snooker 185 Apr 8 18:46 file2 
rootârhel65: /home/paul/owners+ 


6.1.4. chown 
Deținătorul utilizator a unui fişier poate fi schimbat cu comanda chown. 


rootelaika: /home/pault Is -l FileForPaul 

-rw-r--r-- 1 root paul 0 2008-08-06 14:11 FileForPaul 
rootelaika: /home/pault  chown paul FileForPaul 
rootelaika: /home/pault Is -l FileForPaul 

-rw-r--r-- 1 paul paul 0 2008-08-06 14:11 FileForPaul 


Puteţi de asemeni folosi chown pentru a schimba şi proprietarul utilizator şi 
proprietarul grup. 


rootelaika: /home/pault 1s -l FileForPaul 

-rw-r--r-- 1 paul paul 0 2008-08-06 14:11 FileForPaul 
rootelaika: /home/pault chown root:project42 FileForPaul 
rootelaika: /home/pault Is -l FileForPaul 

-rw-r--r-- 1 root project42 0 2008-08-06 14:11 FileForPaul 


6.2. listă a fişierelor speciale 


Cînd folosiți ls -l, pentru fiecare fişier puteți vedea zece caractere înainte 
de proprietarul utilizator şi proprietarul grup. Primul caracter ne spune tipul 
de fişier. Fişierele regulare primesc un -, directoarele un d, legăturile 
simbolice sînt prezentate cu un 1, conductele primesc un p, dispozitivele 
caracter un c, dispozitivele bloc un b, şi soclurile uns. 


Tabelul 6.1. fişiere speciale Unix 


primul caracter tipul de fişier 
fişier normal 
director 

legătură simbolică 
conductă 

dispozitiv bloc 
dispozitiv caracter 
soclu 


WO0 SO. 


Mai jos este o captură de ecran a unui dispozitiv caracter (consola) şi un 
dispozitiv bloc (hard-disk-ul). 


pauledebian6lt-ș 1s -ld /dev/console /dev/sda 
crw======= 1 root root 5, 1 Mar 15 12:45 /dev/console 
brw-rw-=-- 1 root disk 8, 0 Mar 15 12:45 /dev/sda 


Şi aici puteți vedea un director, un fişier regular şi o legătură simbolică. 


pauledebian6lt-ș 1s -ld /etc /etc/hosts /etc/motd 

drwxr-xr-x 128 root root 12288 Mar 15 18:34 /etc 

-rw=r=r== 1 root root 372 Dec 10 17:36 /etc/hosts 

LrwxrwxrwX 1 root root 13 Dec 5 10:36 /etc/motd -> /var/run/motd 
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6.3. permisiuni 
6.3.1. rwx 


Cele nouă caractere pentru tipul de fişier denotă permisiunile în trei tripleţi. 
O permisiune poate fi r pentru acces citire, w pentru acces scriere, şi x pentru 
executare. Aveţi nevoie de permisiunea r pentru a lista (Is) conținutul unui 
director. Aveţi nevoie de permisiunea x pentru a intra (cd) într-un director. 
Aveţi nevoie de permisiunea w pentru a crea fişiere sau a şterge fişiere dintr- 
un director. 


Tabelul 6.2. permisiuni fişier standard Unix 


permisiune asupra unui fişier asupra unui director 

r (citeşte) citire conținut fişier (cat) citire conținut director (1s) 
wWw (scrie) schimbare conținut fişier (vi) creare fişier (touch) 

X (execută) execută fişierul intrare în director (cd) 


6.3.2. trei seturi de rwx 

Ştim deja că ieşirea comenzii ls -1l începe cu zece caractere pentru fiecare 
fişier. Această captură de ecran arată un fişier regular (pentru că primul 
caracter este un -). 


paulGRHELv4u4:-/test$ Is -l proc42.bash 
-rwxr-xr-- 1 paul proj 984 Feb 6 12:01 proc42.bash 


Mai jos este un tabel care descrie funcţia tuturor celor zece caractere. 
Tabelul 6.3. poziția permisiunilor de fişier Unix 


poziție caractere funcţie 


1 - acesta e un fişier regular 

2-4 rwWx permisiuni pentru proprietarul utilizator (user) 
5-7 r-x permisiuni pentru proprietarul grup (group) 

8-10 r-- permisiuni pentru ceilalți (others) 


Cînd sînteţi proprietarul utilizator a unui fişier, atunci vi se aplică 
permisiunile de utilizator (user). Restul permisiunilor nu au nici o influență 
asupra accesului vostru la fişier. 


Cînd aparțineți grupului care este proprietarul grup a unui fişier, atunci vi se 
aplică permisiunile proprietarului grup (group). Restul permisiunilor nu au nici 
o influiență asupra accesului vostru la fişier. 

Cînd nu sînteți proprietarul utilizator a unui fişier şi nu aparțineţți de 
proprietarul grup, atunci permisiunile pentru ceilalţi (others) vi se aplică. 
Restul permisiunilor nu au nici o influiență asupra accesului vostru la fişier. 
6.3.3. exemple permisiuni 


Unele combinații de exemple asupra fişierelor şi directoarelor sînt vizibile în 
următoarea captură de ecran. Numele fişierului explică permisiunile. 
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paulelaika:-/permsș Is -lh 


total 12K 

drwxr-xr-x 2 paul paul 4.0K 2007-02-07 22:26 ToţilntrăutilizatorCreazăşterge 
-rwxrwxrwx 1 paul paul 0 2007-02-07 22:21 ToţiControlDeplin.txt 
-r--r----- 1 paul paul 0 2007-02-07 22:21 DoarProprietariCitesc.txt 
-rwxrwx--- 1 paul paul 0 2007-02-07 22:21 ProprietarTot_CeilalţiNimic.txt 
dr-xr-x--- 2 paul paul 4.0K 2007-02-07 22:25 IntrăutilizatorişiGrup 


dr-x=—===— 2 paul paul 4.0K 2007-02-07 22:25 DoarutilizatorIntră 
paulelaika:-/perms$ 


Pentru a face un sumar, primul triplet rwx reprezintă permisiunile pentru 
proprietarul utilizator. Al doilea triplet corespunde proprietarului grup; el 
specifică permisiunile pentru toți membrii al acelui grup. Al treilea triplet 
defineşte permisiunile pentru toți ceilalți utilizatori care nu sînt 
proprietarul utilizator şi nu sînt un membru al proprietarului grup. 


6.3.4. setare permisiuni (chmod) 
setare permisiuni (chmod) 


Permisiunile pot fi schimbate cu chmod. Primul exemplu dă proprietarului 
utilizator permisiunii de executare. 


paulelaika:-/permsș Is -l permissions.txt 

-rw-r--r-- 1 paul paul 0 2007-02-07 22:34 permissions.txt 
paulelaika:=-/permsș chmod u+x permissions.txt 
paulelaika:-/permsș Is -l permissions.txt 

-rwxr--r-- 1 paul paul 0 2007-02-07 22:34 permissions.txt 


Acest exemplu scoate permisiunea de citire a proprietarilor grup. 


paulelaika:=-/permsș chmod g-r permissions.txt 
paulelaika:-/permsș Is -l permissions.txt 
-rwx---r-- 1 paul paul 0 2007-02-07 22:34 permissions.txt 


Acest exemplu scoate permisiunea de citire a celorlalți. 


paulelaika:=/permsș chmod o-r permissions.txt 
paulelaika:-/permsș Is -l permissions.txt 
—rWx= === 1 paul paul 0 2007-02-07 22:34 permissions.txt 


Acest exemplu dă tuturor permisiunea de scriere. 


paulelaika:=-/permsș chmod a+w permissions.txt 
paulelaika:-/permsș Is -l permissions.txt 
-rwx-w--w- 1 paul paul 0 2007-02-07 22:34 permissions.txt 


Nu e necesar nici să scrieți a. 


paulelaika:-/perms$ chmod +x permissions.txt 
paulelaika:-/permsș Is -l permissions.txt 
-rwx-wx-wx 1 paul paul 0 2007-02-07 22:34 permissions.txt 


Puteţi de asemeni seta permisiunii explicite. 
paulelaika:-/perms$ chmod u=rw permissions.txt 


paulelaika:-/permsș Is -l permissions.txt 
-rw--wx-wx 1 paul paul 0 2007-02-07 22:34 permissions.txt 
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Sînteţi liber să faceţi orice tip de combinare. 


paulelaika:=-/permsș chmod u=rw,g=rw,o=r permissions.txt 
paulelaika:-/permsș Is -l permissions.txt 
-rw-rw-r-- 1 paul paul 0 2007-02-07 22:34 permissions.txt 


Chiar şi combinările alunecoase sînt acceptabile de chmod. 


paulelaika:=-/permsș chmod u=rwx,ugtrw,o=r permissions.txt 
paulelaika:-/permsș Is -l permissions.txt 
-rwxrw-r-- 1 paul paul 0 2007-02-07 22:34 permissions.txt 


6.3.5. setare permisiuni octale 
Cei mai mulți administratori Unix vor folosi sitemul octal de modă veche pentru 
a vorbi despre permisiuni şi a le seta. Priviţi către tripleți în biți, egalînd 


rcu 4, wcu 2, şi xcu 1. 


Tabelul 6.4. permisiuni octale 


binar octal permisiune 
000 0) - = - 
001 1 --X 
010 2 -W- 
011 3 -WX 
100 4 r-- 
101 5 r-x 
110 6 rwW- 
111 7 TWX 


Asta face 777 egal cu rwxrwxrwx şi cu aceeaşi logică, 654 înseamnă rw-r-xr--. 
Comanda chmod va accepta aceste numere. 


paulelaika:=-/permsș chmod 777 permissions.txt 
paulelaika:-/permsș Is -l permissions.txt 

-rwxrwxrwx 1 paul paul 0 2007-02-07 22:34 permissions.txt 
paulelaika:=/permsș chmod 664 permissions.txt 
paulelaika:-/permsș Is -l permissions.txt 

-rw-rw-r-- 1 paul paul 0 2007-02-07 22:34 permissions.txt 
paulelaika:=/permsș chmod 750 permissions.txt 
paulelaika:-/permsș Is -l permissions.txt 

-rwxr-x--- 1 paul paul 0 2007-02-07 22:34 permissions.txt 


6.3.6 umask 


Cînd creați un fişier sau director, un set de permisiuni default se aplică. 
Aceste permisiuni default sînt determinate de umask. umask specifică permisiuni 
pe care nu le vreți setate prin default. Puteţi afişa umask cu comanda umask. 


[HarryeRHEL4b -]$ umask 

0002 

[HarryQRHEL4b -]$ touch test 

[HarryeRHEL4b =]$ 1s -l test 

-rw-rw-r-- 1 Harry Harry 0 Jul 24 06:03 test 
[HarryQRHEL4b -]$ 


După cum de asemeni puteţi vedea, fişierul nu este executabil prin default. Asta 


este o caracteristică de securitate generală în Unix-uri; fişierele nou create 
nu sînt niciodată executabile prin default. Trebuie să tastați în mod explicit 
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chmod +x pentru a face un fişier executabil. Asta de asemeni înseamnă că bitul 1 


în umask nu are nici un înțeles - un umask de 0022 este la fel cu 0033. 


6.3.7. mkdir -m 


Cînd creați directoare cu mkdir puteți folosi opțiunea -m pentru a seta mode. 
Această captură de ecran explică. 


pauledebian5=$ mkdir -m 700 MyDir 
pauledebian5=$ mkdir -m 777 Public 
pauledebian5=$ Is -dl MyDir/ Public/ 


2 paul paul 


4096 2011-10-16 19:16 MyDir/ 


drwxrwxrwx 2 paul paul 4096 2011-10-16 19:16 Public/ 


6.3.8. 


cp - 


p 


Pentru a păstra permisiunile şi amprentele timp din fişierele sursă, folosiţi 


cp -p. 


paulelaika: 
paulalaika: 
paulelaika: 


—rwWxr-x=== 


cp: 
total 0 


—rwWxr=x=== 


-/perms$ cp 
-/perms$ cp 
-/perms$ Il 
1 paul paul 
1 paul paul 


1 paul paul 
1 paul paul 


1 paul paul 
1 paul paul 


filex cp 

-p filex cpp 

x 
0 2008-08-25 13:26 file33 
0 2008-08-25 13:26 file42 


0 2008-08-25 13:34 file33 
0 2008-08-25 13:34 file42 


0 2008-08-25 13:26 file33 
0 2008-08-25 13:26 file42 
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6.4. practică: permisiuni fişier standard 


1. Ca utilizator normal, creați un director -/permissions. Creați un fişier 
deținut de voi acolo. 


2. Copiaţți un fişier deținut de root din /etc/ în directorul permissions, cine 
deține acest fişier acum? 


3. Ca root, creați un fişier în directorul -/permissions a utilizatorilor. 
4. Ca utilizator normal, priviţi cine deține acest fişier creat de root. 
5. Schimbaţi proprietarul tuturor fişierelor din -/permissions pentru dvs. 


6. Asiguraţi-vă că aveți toate drepturile asupra acestor fişiere, şi că ceilalți 
pot doar citi. 


7. Cu chmod, este 770 la fel cu rwxrwx---? 
8. Cu chmod, este 664 la fel cu r-xr-xr--? 
9. Cu chmod, este 400 la fel cu r-------- ? 
10. Cu chmod, este 734 la fel cu rwxr-xr--? 
lila. Afişați umask în formă octală şi în formă simbolică. 


11b. Setați umask la 077, dar folosiți formatul simbolic pentru a-l seta. 
Varificaţi dacă asta funcționează. 


12. Creați un fişier ca root, dați celorlalți doar drepturi de citire. Poate un 
utilizator obişnuit să citească acest fişier? Testaţi scriind în acest fişier cu 
vi. 


13a. Creați un fişier ca utilizator obişnuit, dați-i drepturi de citire doar 
celorlalți. Un alt utilizator normal poate să citească acest fişier? Testaţi 
scriind în acest fişier cu vi. 


13b. Poate root să citească acest fişier? Poate root să scrie în acest fişier cu 
vi? 


14. Creați un director care aparține unui grup, unde fiecare membru al acelui 


grup poate citi şi scrie în fişiere, şi să creeze fişiere. Asiguraţi-vă că 
oamenii aceia pot doar să şteargă propriile lor fişiere. 
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6.5. soluție: permisiuni fişier standard 


1. Ca utilizator normal, creați un director -/permissions. Creați un fişier 
deținut de voi acolo. 


mkdir -/permissions ; touch -/permissions/myfile.txt 


2. Copiaţți un fişier deținut de root din /etc/ în directorul permissions, cine 
deţine acest fişier acum? 


cp /etc/hosts -/permissions/ 

Copia este deţinută de dvs. 

3. Ca root, creați un fişier în directorul -/permissions a utilizatorilor. 
(deveniți root) 4 touch /home/username/permissions/rootfile 

4. Ca utilizator normal, priviţi cine deține acest fişier creat de root. 
Is -l -/permissions 

Fişierul creat de root este deţinut de către root. 

5. Schimbaţi proprietarul tuturor fişierelor din -/permissions pentru dvs. 
chown user -/permissions/x 

Nu puteţi deveni proprietarul fişierului care aparţine lui root. 


6. Asiguraţi-vă că aveţi toate drepturile asupra acestor fişiere, şi că ceilalți 
pot doar citi. 


chmod 644 (asupra fişierelor) 

chmod 755 (asupra directoarelor) 

7. Cu chmod, este 770 la fel cu rwxrwx---? 
Da. 


8. Cu chmod, este 664 la fel cu r-xr-xr--? 


9. Cu chmod, este 400 la fel cu r-------- ? 

Da. 

10. Cu chmod, este 734 la fel cu rwxr-xr--? 

Nu. 

lila. Afişați umask în formă octală şi în formă simbolică. 
umask ; umask -S 


11b. Setați umask la 077, dar folosiți formatul simbolic pentru a-l seta. 
Verificaţi dacă asta funcționează. 
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umask -S u=rwx,go= 
12. Creați un fişier ca root, dați celorlalți doar drepturi de citire. Poate un 


utilizator obişnuit să citească acest fişier? Testaţi scriind în acest fişier cu 
vi. 


(deveniți root): 

4 echo hello > /home/username/root.txt 
4 chmod 744 /home/username/root.txt 
(deveniți utilizator): 

vi =/root.txt 


13a. Creați un fişier ca utilizator obişnuit, dați-i drepturi de citire doar 
celorlalți. Un alt utilizator normal poate să citească acest fişier? Testaţi 
scriind în acest fişier cu vi. 


echo hello > file ; chmod 744 file 
Da, ceilalţi pot citi acest fişier. 


13b. Poate root să citească acest fişier? Poate root să scrie în acest fişier cu 
vi? 


Da, root poate citi şi scrie în acest fişier. Permisiunile nu se aplică lui 
root. 


14. Creați un director care aparține unui grup, unde fiecare membru al acelui 
grup poate citi şi scrie în fişiere, şi să creeze fişiere. Asiguraţi-vă că 
oamenii aceia pot doar să şteargă propriile lor fişiere. 

mkdir /home/project42 ; groupadd project42 

chgrp project42 /home/project42 ; chmod 775 /home/project42 


Nu puteți încă să faceți ultima parte a acestui exercițiu. 
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Capitolul 7. permisiunii fişier avansate 
7.1. sticky bit asupra unui director 


Puteți seta sticky bit asupra unui director pentru a preveni utilizatorii să nu 
şteargă fişiere pe care ei nu le deţin ca proprietar utilizator. Bitul sticky 
este afişat la aceeaşi locație ca permisiunea x pentru ceilalţi. Sticky bit este 
reprezentat de un t (însemnînd că x este de asemeni acolo) sau un T (cînd nu 
există x pentru ceilalți). 


rooteRHELv4u4:-% mkdir /project55 

rooteRHELv4u4:-% Is -ld /project55 

drwxr-xr-x 2 root root 4096 Feb 7 17:38 /project55 
rooteRHELv4u4:-% chmod +t /project55/ 
rootâRHELv4u4:-% Is -ld /project55 

drwxr-xr-t 2 root root 4096 Feb 7 17:38 /project55 
rootaRHELv4u4: -% 


Sticky bit poate fi de asemeni setat cu permisiuni octale, este binarul 1 în 
primul dintre cei patru tripleţi. 


rooteRHELv4u4:-4 chmod 1775 /project55/ 
rooteRHELv4u4:-% Is -ld /project55 

drwxrwxr-t 2 root root 4096 Feb 7 17:38 /project55 
rootaRHELv4u4: -% 


În mod tipic veți găsi sticky bit în directorul /tmp. 


rootâbarry:=t Is -ld /tmp 
drwxrwxrwt 6 root root 4096 2009-06-04 19:02 /tmp 


7.2. setgid bit asupra unui director 


setgid poate fi folosit asupra directoarelor pentru a ne asigura că toate 
fişierele dinăuntrul directorului sînt deținute de proprietarul grup a 
directorului. Bitul setgid este afişat la aceeaşi locație cu permisiunea x 
pentru proprietarul grup. Bitul setgid este reprezentat de un s (însemnînd că x 
este de asemeni acolo) sau un S (cînd nu există x pentru proprietarul grup). 
Precum arată acest exemplu, chiar dacă root nu aparține grupului proj55, 
fişierele create de root în /project55 vor aparține lui proj55 de vreme ce 
setgid este setat. 


rooteRHELv4u4:-% groupadd proj55 

rootâRHELv4u4:-% chown root:proj55 /project55/ 
rootâRHELv4u4:-% chmod 2775 /project55/ 
rootâRHELv4u4:-% touch /project55/fromroot.txt 
rootâRHELv4u4:-% Is -ld /project55/ 

drwxrwsr-x 2 root proj55 4096 Feb 7 17:45 /project55/ 
rootâRHELv4u4:-% Is -l /project55/ 

total 4 

-rw-r--r-- 1 root proj55 0 Feb 7 17:45 fromroot.txt 
rootaRHELv4u4: -% 


Puteţi folosi comanda find pentru a găsi toate directoarele setgid. 
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paulelaika:=$ find / -type d -perm -2000 2> /dev/null 
/var/log/mysqgl 

/var/log/news 

/var/local 


7.3. setgid şi setuid asupra fişierelor regulare 


Aceste două permisiuni fac ca un fişier executabil să fie executat cu 
permisiunile proprietarului fişierului în loc de proprietarul executor. Asta 
înseamnă că dacă orice utilizator execută un program care aparţine 
utilizatorului root, şi bitul setuid este setat pe acel program, atunci 
programul rulează ca root. Asta poate fi periculos, dar uneori e bine pentru 
securitate. 


Luaţi exemplul parolelor; ele sînt stocate în /etc/shadow care are doar drepturi 
de citire de către root. (Utilizatorul root nu are nevoie de permisiuni oricum). 


rootaRHELv4u4:-4 Is -1l /etc/shadow 
i ela bt 1 root root 1260 Jan 21 07:49 /etc/shadow 


Schimbarea parolei cere un update acestui fişier, aşa că cum anume pot 
utilizatori non-root să facă asta? Să ne uităm la permisiuni în /usr/bin/passwd. 


rooteRHELv4u4:-% Is -l /usr/bin/passwd 
-r-s--x--x 1 root root 21200 Jun 17 2005 /usr/bin/passwd 


Cînd executați programul passwd, îl executați cu acreditările lui root. 


Puteţi folosi comanda find pentru a găsi toate programele setuid. 


paulelaika:-$ find /usr/bin -type f -perm -04000 
/usr/bin/arping 

/usr/bin/kgrantpty 

/usr/bin/newgrp 

/usr/bin/chfn 

/usr/bin/sudo 

/usr/bin/fping6 

/usr/bin/passwd 

/usr/bin/gpasswd 


în cele mai multe cazuri, setînd bitul setuid pe executabile este suficient. 
Setînd bitul setgid va avea ca rezultat ca aceste programe să ruleze cu 
acreditările proprietarului lor grup. 


7.4. setuid asupra sudo 


Executabilul sudo are bitul setuid setat, astfel că orice utilizator poate să-l 
ruleze cu userid efectiv a lui root. 


paulerhel65:-ș Is -l $(which sudo) 


---s--x--x. 1 root root 123832 Oct 7 2013 /usr/bin/sudo 
paulerhel65:-$ 
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7.5. practică: biții sticky, setuid şi setgid 
la. Setați un director, deţinut de grupul sports. 


1b. Membrii grupului sports ar trebui să fie capabili să creeze fişiere în acest 
director. 


1c. Toate fişierele create în acest director ar trebui să fie deținute în grup 
de grupul sports. 


1d. Utilizatorii ar trebui să fie capabili să şteargă doar fişierele lor 
deținute în grupul utilizatorilor. 


le. Verificaţi dacă cele de mai sus funcționează! 


2. Verificaţi permisiunile asupra /usr/bin/passwd. Ştergeți setuid, apoi 
încercați să schimbaţi parola ca utilizator normal. Resetați permisiunile şi 
încercați din nou. 


3. Dacă timpul permite (sau dacă aşteptaţi ca ceilalți studenți să termine 
această practică), citiți despre atributele fişier în pagina de manual chattr şi 
Isattr. încercați să setați atributul i asupra unui fişier şi verificați dacă 
asta funcționează. 
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7.6. soluție: biții sticky, setuid şi setgid 

la. Setați un director, deţinut de grupul sports. 
groupadd sports 

mkdir /home/sports 


chown root:sports /home/sports 


1b. Membrii grupului sports ar trebui să fie capabili să creeze fişiere în acest 
director. 


chmod 770 /home/sports 


1c. Toate fişierele create în acest director ar trebui să fie deținute în grup 
de grupul sports. 


chmod 2770 /home/sports 


1d. Utilizatorii ar trebui să fie capabili să şteargă doar fişierele lor 
deținute în grupul utilizatorilor. 


chmod +t /home/sports 
le. Verificaţi dacă cele de mai sus funcționează! 


Intraţi în sistem ca utilizatori diferiți (membri de grup şi alții şi root), 
creați fişiere şi verificați permisiunile. încercaţi să schimbaţi şi să ştergeţi 
fişiere .. 


2. Verificaţi permisiunile asupra /usr/bin/passwd. Ştergeți setuid, apoi 
încercați să schimbaţi parola ca utilizator normal. Resetați permisiunile şi 
încercați din nou. 


rootedeb503:-+ Is -l /usr/bin/passwd 

-rwsr-xr-x 1 root root 31704 2009-11-14 15:41 /usr/bin/passwd 
rootedeb503:-4 chmod 755 /usr/bin/passwd 

rootedeb503:-+ Is -l /usr/bin/passwd 

-rwxr-xr-x 1 root root 31704 2009-11-14 15:41 /usr/bin/passwd 


Un utilizator normal nu poate să schimbe parola acum. 


rootedeb503:=+ chmod 4755 /usr/bin/passwd 
rootedeb503:-+ Is -l /usr/bin/passwd 
-rwsr-xr-x 1 root root 31704 2009-11-14 15:41 /usr/bin/passwd 


3. Dacă timpul permite (sau dacă aşteptaţi ca ceilalți studenți să termine 
această practică), citiți despre atributele fişier în pagina de manual chattr şi 
Isattr. încercați să setați atributul i asupra unui fişier şi verificați dacă 
asta funcționează. 
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paulelaika:=$ sudo su - 
[sudo] password for paul: 
rootelaika:-4% mkdir attr 


rootalaika: 


rootelaika 
rootelaika 


rootâlaika: 
rootâlaika: 


rootâlaika: 


rm: cannot 
rootelaika 
rootelaika 


-4 cd attr/ 


:-/attrt touch file42 
:;-/attrt Ilsattr 
= ./file42 


-[attrt chattr +i file42 


-/attrt Isattr 
te e cauza ./file42 


-/attrt rm -rf file42 


remove 


-[attrt 


"file42!; 
:-/attrt chattr -i file42 
:-/attrt rm -rf file42 

rootâlaika: 


Operation not permitted 


63 


Capitolul 8. liste control acces 


Permisiunile standard Unix ar putea să nu fie îndeajuns pentru unele 
organizații. Acest capitol face o introducere la liste control acces sau acl 
(access control list) pentru a proteja mai bine fişiere şi directoare. 


8.1. acl în /etc/fstab 


Sistemele fişier care suportă liste control acces, sau act, trebuie montate cu 
opțiunea acl listată în /etc/fstab. în exemplul de mai jos, puteți vedea că 
sistemul de fişier root are suport act, în schimb /home/data/ nu are. 


rootalaika:-t tail -4 /etc/fstab 

/dev/sdal / ext3 acl,relatime 
/dev/sdb2 /home/data auto noacl,defaults 
pasha: /home/r /home/pasha nfs defaults 
wolf:/srv/data  /home/wolf nfs defaults 


lolioliolio) 
lolio io i 


8.2. getfacl 


Citirea acl-urilor poate fi făcută cu /usr/bin/getfacl. Această captură de ecran 
arată cum să citim acl a file33 cu getfacl. 


paulelaika:-/testș getfacl file33 
4 file: file33 

+ owner: paul 

+ group: paul 

user: :rw- 

group: :r-- 

mask: : rwx 

other: :r-- 


8.3. setfacl 


Cu /usr/bin/setfacl se pot scrie sau schimba acl-uri. Aceste capturi de ecran 
arată cum să schimbăm actl-ul fişierului file33 cu setfactl. 


Mai întîi adăugăm utilizatorul sandra cu permisiunea octală 7 la acl. 
paulelaika:-/testș setfacl -m u:sandra:7 file33 

Apoi adăugăm grupul tennis cu permisiunea octală 6 la acl-ul aceluiaşi fişier. 
paulelaika:-/testș setfacl -m g:tennis:6 file33 

Rezultatul este vizibil cu getfactl. 


paulelaika:-/test$ getfacl file33 
+ file: file33 
+ owner: paul 
+ group: paul 


user: :rw- 
user :sandra:rwx 
group: :r-- 


group: tennis: rw- 
mask: : rwx 
other: : r-- 
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8.4. ştergere a unei intrări acl 


Opțiunea -x a comenzii setfacl va şterge o intrare acl din fişierul țintă. 


paulelaika:-/testș setfacl -m u:sandra:7 file33 
paulelaika:-/testș getfacl file33 | grep sandra 
user :sandra: rwx 

paulelaika:-/testș setfacl -x sandra file33 
paulelaika:-/testș getfacl file33 | grep sandra 


Notați că omiterea u sau g cînd definim actl-utl pentru un cont va fi făcut 
default pentru un cont de utilizator. 


8.5. şergere completă acl 
Opțiunea -b a comenzii setfacl va şterge acl-ul din fişierul țintă. 


paulelaika:-/testș setfacl -b file33 
paulelaika:-/testș getfacl file33 

4 file: file33 

+ owner: paul 

+ group: paul 


user: :rw- 
group: :r-- 
other: : r-- 


8.6. acl mask 


acl mask defineşte permisiunile maximum efective pentru o intrare în acl. Aceast 
mask este calculat de fiecare dată cînd executați comenzile setfacl sau chmod. 


Puteți preveni calcularea folosind întrerupătorul --no-mask. 


paulelaika:-/testș setfacl --no-mask -m u:sandra:7 file33 
paulelaika:-/testș getfacl file33 

+ file: file33 

+ owner: paul 

+ group: paul 

user: :rw- 

user: sandra: rwx teffective:rw- 

group: :r-- 

mask: : rw- 

other: : r-- 


8.7. eiciel 


Utilizatorii desktop ar putea vrea să utilizeze eiciel pentru a face 
managementul act cu un utilitar grafic. 
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Basic Emblems Permissions Open With Notes! Access Control List 
Access Control List 


'Entry Read Write Execution 
|! paul d: a 0 


_) D) 


d 
E) 
E Mask a a a 
= îi 


L<]| 


Trebuie să instalați eiciel şi nautilus-actions pentru a avea un extra tab în 
nautilus pentru a face managementul acl-urilor. 


paulelaika:-$ sudo aptitude install eiciel nautilus-actions 
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Capitolul 9. legături fişier 


Un computer obişnuit Linux are un sistem de fişier cu multe legături depline şi 
legături simbolice. 


Pentru a înțelege legăturile într-un sistem fişier, trebuie mai întîi să 
înțelegeţi ce este un inod. 
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9.1. inod-uri 
9.1.1. conținut inod 


Un iînod este o structură de date care conține metadate despre un fişier. Cînd un 
sistem fişier stochează un nou fişier pe hard-disk, stochează nu doar conținutul 
(date) despre fişier, dar şi extra proprietăți ca numele fişierului, data 
creării, permisiunile lui, proprietarul fişierului, şi mai mult. Toată această 
informație (cu excepția numelui şi conținutului fişierului) este stocată în 
inod-ul fişierului. 


Comanda Is -1 va afişa puțin din conținutul inod, aşa cum se vede în această 
captură de ecran. 


rooterhel53 = Is -ld /home/project42/ 
drwxr-xr-x 4 root pro42 4.0K Mar 27 14:29 /home/project42/ 


9.1.2. tabel inod 


Tabelul inod conține toate inod-urile şi este creat cînd creați sistemul fişier 
(cu mkfs). Puteţi folosi comanda df -i pentru a vedea cît de multe inod-uri sînt 
folosite şi libere pe sisteme fişier montate. 


rootârhel53 -4 df -i 
Fi lesystem Inodes Iused IFree  IUse% Mounted on 
/dev/mapper/VolGroup00-Logvol00 

4947968 115326 4832642 3% / 


/dev/hda1 26104 45 26059 1%  /boot 

tmpfs 64417 1 64416 1% /dev/shm 
/dev/sdal 262144 2207 259937 1% /home/project42 
/dev/sdb1 74400 5519 68881 8% /home/project33 
/dev/sdb5 0) 0) 0) — /home/sales 
/dev/sdb6 100744 11 100733 1% /home/research 


în df -i în captura de ecran de mai sus puteți vedea utilizarea inod pentru mai 
multe sisteme fişier montate. Nu vedeți numere pentru /dev/sdb5 pentru că el 
este un sistem fişier fat. 


9.1.3. număr inod 


Fiecare inod are un număr unic (numărul inocd). Puteţi vedea numerele inod cu 
comanda Is -li. 


paulQRHELv4u4:-/test$ touch filei 
paulQRHELv4u4:-/test$ touch file2 
paulQRHELv4u4:-/test$ touch file3 
paulQRHELv4u4:-/test$ Is -li 

total 12 

817266 -rw-rw-r-- 1 paul paul 0 Feb 5 15:38 file1 
817267 -rw-rw-r-- 1 paul paul 0 Feb 5 15:38 file2 
817268 -rw-rw-r-- 1 paul paul 0 Feb 5 15:38 file3 
pauLQRHELv4u4:-/test$ 


Aceste trei fişiere au fost create unul după altul şi au obținut trei inod-uri 
diferite (prima coloană). Toată informația pe care o vedeți cu această comandă 
1s rezidă în inod, cu excepția numelui de fişier (care este conținut în 
director). 
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9.1.4. inod şi conținut fişier 


Să punem nişte date în unul dintre fişiere. 


pauleRHELv4u4:-/test$ Is -lLi 

total 16 

817266 -rw-rw-r-- 1 paul paul 0 Feb 5 15:38 filel 
817270 -rw-rw-r-- 1 paul paul 92 Feb 5 15:42 file2 
817268 -rw-rw-r-- 1 paul paul 0 Feb 5 15:38 file3 
pauleRHELv4u4:-/test$ cat file2 

It is winter now and it is very cold. 

We do not like the cold, we prefer hot summer nights. 
pauleRHELv4u4: -/test$ 


Datele care sînt afişate de comanda cat nu sînt în iînod, ci altundeva pe disk. 
inod conține o țintă către acele date. 


9.2. despre directoare 

9.2.1. un director este un tabel 

Un director este un tip special de fişier care conţine un tabel care mapează 
numele de fişiere în inod-uri. Listarea directorului nostru curent cu Is -ali va 


afişa conținutul fişierului din director. 


pauleRHELv4u4:-/test$ Is -aLi 


total 32 

817262 drwxrwxr-x 2 paul paul 4096 Feb 5 15:42 
800768 drwx------ 16 paul paul 4096 Feb 5 15:42 .. 
817266 -rw-rw-r-- 1 paul paul O Feb 5 15:38 filel 
817270 -rw-rw-r-- 1 paul paul 92 Feb 5 15:42 file2 
817268 -rw-rw-r-- 1 paul paul O Feb 5 15:38 file3 


pauleRHELv4u4:-/test$ 
9.2.2. şi 


Puteți vedea cinci nume, şi maparea la cele 5 inod-uri ale lor. Punctul . esteo 
mapare la el însuşi, şi punct punct .. este o mapare la directorul părinte. 
Celelalte trei nume sînt mapări la inod-uri diferite. 


9.3. legături depline (hard links) 
9.3.1. crearea legăturilor depline 


Cînd creăm o legătură deplină la un fişier cu In, o intrare extra este adăugată 
în director. Un nou nume de fişier este mapat la un inod existent. 


pauleRHELv4u4:-/test$ In file2 hardlink_to_file2 
pauleRHELv4u4:-/test$ Is -lLi 

total 24 

817266 -rw-rw-r-- 1 paul paul 0 Feb 5 15:38 filel 

817270 -rw-rw-r-- 2 paul paul 92 Feb 5 15:42 file2 

817268 -rw-rw-r-- 1 paul paul 0 Feb 5 15:38 file3 

817270 -rw-rw-r-- 2 paul paul 92 Feb 5 15:42 hardlink_to_file2 
pauleRHELv4u4: -/test$ 


Ambele fişiere au acelaşi inod, astfel ele vor avea întotdeauna aceleaşi 
permisiuni şi acelaşi proprietar. Ambele fişiere vor avea acelaşi conținut. În 
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realitate, ambele fişiere sînt egale acum, însemnînd că puteți şterge în mod 
sigur fişierul original, fişierul cu legătură deplină va rămîne. Inod-ul conține 
un numărător, numărînd numărul de legături depline în el însuşi. Cînd 
numărătorul ajunge la zero, atunci inod-ul este golit. 


9.3.2. găsire legături depline 


Puteți folosi comanda find pentru a căuta fişiere cu un anumit inod. Captura de 
ecran de mai jos arată cum să căutăm toate numele de fişiere care ţintesc spre 
inod 817270. Țineţi minte că un număr inod este unic în partiția sa. 


pauleRHELv4u4:-/testș find / -inum 817270 2> /dev/null 
/home/paul/test/file2 
/home/paul/test/hardlink_to_file2 


9.4. legături simbolice (soft links) 


Legăturile simbolice (uneori denumite soft links) nu se leagă la inod-uri, ci 
creează un nume la maparea numelui. Legăturile simbolice sînt create cu In -s. 
Aşa cum puteţi vedea mai jos, legătura simbolică primeşte un inod a ei înseşi. 


pauleRHELv4u4:-/test$ In -s file2 symlink_to_file2 
pauleRHELv4u4:-/test$ Is -lLi 
total 32 


817273 -rw-rw-r-- 1 paul paul 13 Feb 5 17:06 filel 

817270 -rw-rw-r-- 2 paul paul 106 Feb 5 17:04 file2 

817268 -rw-rw-r-- 1 paul paul 0 Feb 5 15:38 file3 

817270 -rw-rw-r-- 2 paul paul 106 Feb 5 17:04 hardlink_to_file2 
5 


817267 Lrwxrwxrwx 1 paul paul 5 Feb 
pauleRHELv4u4:-/test$ 


16:55 symlink_to_file2 -> file2 


Permisiunile asupra unei legături simbolice nu au nici un înțeles, de vreme ce 
permisiunile țintei se aplică. Legăturile depline sînt limitate la propriile lor 
partiții (pentru că ele țintesc la un inod), legăturile simbolice pot să se 
conecteze oriunde (alte sisteme fişier, chiar şi în reţea). 


9.5. ştergerea legăturilor 


Legăturile pot fi şterse cu rm. 


paulelaika:-$ touch data.txt 
paulelaika:-$ In -s data.txt sl_data.txt 
paulelaika:-$ In data.txt hl_data.txt 
paulelaika:=-$ rm sl_data.txt 
paulelaika:=-$ rm hl_data.txt 
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9.6. practică: legături 
1. Creați două fişiere numite winter.txt şi summer.txt, scrieți ceva în ele. 
2. Creați o legătură deplină la winter.txt numită hiwinter.txt. 


3. Afişați numerele inod a acestor trei fişiere, legăturile depline ar trebui să 
aibă acelaşi inod. 


4. Folosiţi comanda find pentru a lista cele două fişiere legate deplin. 

5. Totul despre un fişier este în inod, cu excepția a două lucruri: numiți-le. 
6. Creați o legătură simbolică la summer.txt numită slsummer.txt. 

7. Găsiţi toate fişierele cu număr inod 2. Ce vă spune această informație? 


8. Priviţi la directoarele /etc/init.d/ /etc/rc2.d/ /etc/rc3.d/ .. vedeţi 
legăturile? 


9. Priviţi la /lib cu Is -l.. 


10. Folosiţi find pentru a căuta în directorul home fişiere regulare care nu au 
(!) nici o singură legătură deplină. 
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9.7. soluție: legături 

1. Creați două fişiere numite winter.txt şi summer.txt, scrieți ceva în ele. 
echo cold > winter.txt ; echo hot > summer.txt 

2. Creați o legătură deplină la winter.txt numită hlwinter.txt. 

In winter.txt hlwinter.txt 


3. Afişați numerele inod a acestor trei fişiere, legăturile depline ar trebui să 
aibă acelaşi inod. 


1s -li winter.txt summer.txt hlwinter.txt 

4. Folosiţi comanda find pentru a lista cele două fişiere legate deplin. 

find . -inum xyz înlocuiţi xyz cu numărul inod. 

5. Totul despre un fişier este în inod, cu excepția a două lucruri: numiți-le. 
Numele unui fişier este într-un director, şi conţinutul este undeva pe disk. 
6. Creați o legătură simbolică la summer.txt numită slsummer.txt. 

In -s summer.txt slsummer.txt 

7. Găsiţi toate fişierele cu număr inod 2. Ce vă spune această informație? 


Vă spune că există mai mult decît un singur tabel inod (unul pentru fiecare 
partiție formatată + sisteme de fişier virtuale). 


8. Priviţi la directoarele /etc/init.d/ /etc/rc2.d/ /etc/rc3.d/ .. vedeţi 
legăturile? 


Is -l /etc/init.d 

1s -l /etc/rc2.d 

Is -l /etc/rc3.d 

9. Priviţi la /lib cu Is -l.. 
Is -l /lib 


10. Folosiţi find pentru a căuta în directorul home fişiere regulare care nu au 
(!) nici o singură legătură deplină. 


find = ! -links 1 -type f 
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Partea III. firewall iptables 
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Conţinut 


OONODUIBPUOUNH 


OU PUNR 


introducere la rutere. 
ruter sau firewall. 
expediere pachet. 
filtrare pachet. 
stateful (declarat) 


nat (network address translation) (translarea adresei. network). 


pat (port address translation) (translarea adresei port). 
snat (sursă nat). 

masquerading. 

dnat (destinație nat). 

expediere port . . : 
/proc/sys/net/ipva/ip_forward. 

/etc/sysctI.conf. e ogari 

sysctl. ema a Si eg aa 

practică: expediere pachet. 

soluție: expediere pachet. 


firewall iptables. 

tabele iptables. 

start şi stop iptables. 

tabelul filtru. 

practică: filtrare pachet. 

soluție: filtrare pachet. 

network address translation (translarea adresei network). 
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Capitolul 10. introducere la rutere 


Ceea ce urmează este o foarte scurtă introducere la utilizarea Linux-ului ca un 
ruter. 
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10.1. ruter sau firewall 


Un ruter este un dispozitiv care conectează două rețele. Un firewall este un 
dispozitiv care în afară că acţionează ca un ruter, de asemeni conține (şi 
implementează) reguli pentru a determina dacă pachetelelor le este permis să se 
transfere dintr-o rețea în alta. Un firewall poate fi configurat să blocheze 
accesul bazîndu-se pe rețele, nume de maşini, protocoluri şi porturi. Firewall- 
urile pot de asemeni să schimbe conținutul pachetelor în timp ce le trimit. 


router or 
firewall ? 


10.2. expediere pachet 


expedierea pachetului (packet forwarding) înseamnă permisiunea ca pachetele să 
se transfere dintr-o reţea în alta. Cînd o gazdă cu mai multe computere acasă 
este conectată la două rețele diferite, şi permite pachetelor să se transmită 
dintr-o reţea în alta prin cele două interfeţe de rețea, se numeşte că are 
activată expedierea pachetului. 


10.3. filtrare pachet 


filtrarea pachetului (packet filtering) este foarte similar cu expedierea 
pachetului, dar fiecare pachet este individual testat împotriva regulilor care 
decid permiterea sau „aruncarea” pachetului. Regulile sînt stocate de iptables. 


10.4. stateful (declarat) 


Un firewall declarat (stateful) este o avansare deasupra firewall-urilor fără 
declarație, care inspectează fiecare pachet individual. Un firewall declarat va 
păstra un tabel a conexiunilor active, şi ştie îndeajuns să recunoască cînd 
conexiuni noi sînt parte a sesiunii active. Linux iptables este un firewall 
declarat. 


10.5. nat (network address translation) translarea adresei network 


Un dispozitiv nat este un ruter care schimbă şi sursa şi/sau ținta adresei ip în 
pachete. Este în mod tipic utilizat pentru a conecta mai multe computere într-o 
rază de acțiune adresă privată (rfc 1918) cu internetul (public). Un nat poate 
ascunde adresele private din internet. 


Este important de înțeles că oamenii şi vînzătorii nu folosesc întotdeauna 
termenul potrivit cînd fac referiri la un anumit tip de nat. Asiguraţi-vă că 
vorbiți despre acelaşi lucru. Putem distinge mai multe tipuri de nat. 

10.6. pat (port address translation) translarea adresei port 

nat deseori include pat. Un dispozitiv pat este un ruter care de asemeni schimbă 


sursa şi/sau ţinta port tcp/udp în pachete. pat este o terminologie Cisco şi 
este folosită de snat, dnat, masquerading şi expeditor port (port forwarding) în 
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Linux. RFC 3022 o denumeşte NAPT şi defineşte combinaţia nat/pat ca "nat 
tradițional". Un dispozitiv vîndut ca dispozitiv nat va avea probabil şi nat şi 
pat. 

10.7. snat (sursă nat) 


Un dispozitiv snat schimbă sursa adresei ip cînd un pachet trece prin nat. 
Configurarea snat cu iptables include o adresă sursă țintă fixă. 


10.8. masquerading 

masquerading (mascarea) este o formă de snat care va ascunde sursa (privată) 
adreselor ip din rețeaua privată folosind o adresă ip publică. Mascarea este 
comună pe interfețele internet dinamice (modemuri/rutere broadband). 
Configurația mascării cu iptables foloseşte o adresă sursă țintă dinamică. 
10.9. dnat (destinaţie nat) 

Un dispozitiv dnat schimbă destinaţia adresei ip cînd un pachet trece prin nat. 


10.10. expediere port (port forwarding) 


Cînd dnat static este setat într-o modalitate care permite conexiuni din afară 
să intre în rețeaua noastră privată, atunci asta se numeşte expediere port. 


10.11. /proc/sys/net/ipv4/ip_ forward 
Dacă un nume de maşină face expedierea pachetelor, acest lucru este definit în 


/proc/sys/net/ipv4/ip_forward. Următoarea captură de ecran arată cum să activăm 
expedierea pachet pe Linux. 


rooterouter-t echo 1 > /proc/sys/net/ipv4/ip_forward 

Următoarea comandă arată cum să dezactivăm expedierea pachet. 

rooterouter-=t echo 0 > /proc/sys/net/ipv4/ip_forward 

Folosiţi cat pentru a verifica dacă expedierea pachet este activată. 
rooterouter-t cat /proc/sys/net/ipv4/ip_forward 

10.12. /etc/sysctI.conf 

Prin default, cele mai multe computere Linux nu sînt configurate pentru 
expediere automată pachet. Pentru a autoriza expedierea pachet oricând intrăm în 


sistem, schimbăm variabila net.ipv4.ip forward din /etc/sysctl.conf la valoarea 
i 


rooterouter-t grep ip_forward /etc/sysctl.conf 
net.ipv4.ip_forward = 0 


10.13. sysctl 
Pentru mai multe informații, priviți la pagina de manual sysctl. 
rootedebian6-t man sysctl 


rootedebian6-t sysctl -a 2>/dev/null | grep ip_forward 
net.ipv4.ip_forward = 0 
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10.14. practică: expediere pachet 


0. Aveţi opțiunea de a selecta (sau crea) o reţea internă cînd adăugați o placă 
de rețea în VirtualBox sau VMWare. Folosiţi această opţiune pentru a crea două 
rețele interne. Le-am denumit leftnet și rightnet, dar puteți alege orice alt 
nume. 


a? Network 


Adapter 1: Intel PRO/1000 MT Desktop (Bridged Adapter, enl: AirPort) 
Adapter 2: Intel PRO/1000 MT Desktop (Internal Network, 'leftnet') 
Adapter 3: Intel PRO/1000 MT Desktop (Internal Network, 'rightnet') 


1. Setați două maşini Linux, una pe leftnet, cealaltă pe rightnet. Fiți siguri 
că ambele obțin o adresă ip în subnetul corect. Aceste două maşini vor fi 'left! 
şi 'right! de la 'ruter'. 


router 


ZT 
— 


9 a 10.0.70.9 
10.0.60.1 


2. Setați un al treilea computer Linux cu trei plăci network, una pe leftnet, 
cealaltă pe rightnet. Acest computer va fi 'ruter-ul!'. Completaţi tabelul de mai 
jos cu numele corespunzătoare, adresele ip şi adresele mac. 


Tabel 10.1. exercițiu expediere pachet 


computer leftnet | ruter-ul | computer rightnet 


MAC 
| RR PI 


3. Cum puteţi verifica dacă ruter-ul va permite expedierea pachet prin default 
sau nu? Testați dacă puteţi face ping de la ruter către celelalte două maşini, 
şi de la acele două maşini către ruter. Folosiţi arp -a pentru a fi siguri că 
sînteți conectat cu adresa mac corectă. 


IP 


4. Faceți ping de la computerul leftnet la computerul rightnet. Activaţi sau/şi 
dezactivați expedierea pachet pe ruter şi verificaţi ce se întîmplă cu ping-ul 
între cele două reţele. Dacă nu reuşiți să faceți ping între cele două reţele 
(pe subneturi diferite), atunci folosiţi un interceptor ca wireshark sau tcpdump 
pentru a descoperi problema. 
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5. Folosiţi wireshark sau tcpdump -xx pentru a răspunde următoarelor întrebări. 
Sursa MAC se schimbă cînd un pachet trece prin filtru? Şi MAC-ul destinație? Ce 
e cu sursa şi destinația adreselor ip? 


6. Vă amintiți de a treia placă de rețea de pe ruter? Conectaţi această placă de 


rețea cu un LAN cu conexiune internet. Comanda dhclient etho funcționează pe mai 
multe LAN-uri (înlocuiți etho cu interfața corectă). 


rootârouter-t dhclient etho 


Aveţi acum o setare similară cu acest desen. Ce trebuie să fie făcut să dăm 
acces internet leftnet şi rightnet? 


2 A — I09 si 
leftnet rightnet „> „0 


SE 


router 


RŢe e 
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10.15. soluție: expediere pachet 


a? Network 


Adapter 1: Intel PRO/1000 MT Desktop (Bridged Adapter, enl: AirPort) 
Adapter 2: Intel PRO/1000 MT Desktop (Internal Network, 'leftnet”) 
Adapter 3: Intel PRO/1000 MT Desktop (Internal Network, 'rightnet') 


1. Setați două maşini Linux, una pe leftnet, cealaltă pe rightnet. Fiți siguri 
că ambele obțin o adresă ip în subnetul corect. Aceste două maşini vor fi 'left! 
şi 'right! de la 'ruter'. 


router 


. ȘT 
. 


4 e, 10.0.70.9 
10.0.60.1 


Configuraţia ip pe computere ar trebui să fie similară cu următoarele două 
capturi de ecran. Ambele maşini trebuie să fie într-un subnet diferit (aici 
192.168.60.0/24 şi 192.168.70.0/24). Am creat un mic script pe ambele maşini 
pentru a configura interfețele. 


rootâleft-4+ cat leftnet.sh 
pkill dhclient 
ifconfig etho 192.168.60.8 netmask 255.255.255.0 


rootâright-t cat rightnet.sh 
pkill dhclient 
ifconfig etho 192.168.70.9 netmask 255.255.255.0 


2. Setați un al treilea computer Linux cu trei plăci network, una pe leftnet, 
cealaltă pe rightnet. Acest computer va fi 'ruter-ul!'. Completaţi tabelul de mai 
jos cu numele corespunzătoare, adresele ip şi adresele mac. 


rootârouter-t cat router.sh 

ifconfig ethl 192.168.60.1 netmask 255.255.255.0 
ifconfig eth2 192.168.70.1 netmask 255.255.255.0 
echo 1 > /proc/sys/net/ipv4/ip_forward 


Setarea voastră poate folosi adrese ip şi mac altele decît cele din tabelul de 
mai jos. 


Tabelul 10.2. soluție expediere pachet 


leftnet computer ruter rightnet computer 
08:00:27:f6:ab:b9 08:00:27:43:1f:5a 08:00:27:;be:4a:6b 08:00:27:14:8b:17 
192.168.60.8 192.168.60.1 192.168.70.1 192.168.70.9 
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3. Cum puteţi verifica dacă ruter-ul va permite expedierea pachet prin default 
sau nu? Testați dacă puteți face ping de la ruter către celelalte două maşini, 
şi de la acele două maşini către ruter. Folosiţi arp -a pentru a fi siguri că 
sînteți conectat cu adresa mac corectă. 


Asta poate fi făcut cu "grep ip_forward /etc/syscti.conf" (1 este activat, 0 
este dezactivat) sau cu sysctl -a | grep ip_for. 


rooterouter-t grep ip_for /etc/sysctl.conf 

net.ipv4.ip_forward = 0 

4. Faceți ping de la computerul leftnet la computerul rightnet. Activaţi sau/şi 
dezactivați expedierea pachet pe ruter şi verificaţi ce se întîmplă cu ping-ul 
între cele două reţele. Dacă nu reuşiţți să faceți ping între cele două reţele 


(pe subneturi diferite), atunci folosiţi un interceptor ca wireshark sau tcpdump 
pentru a descoperi problema. 


Aţi uitat să adăugaţi un default gateway la maşinile LAN? Folosiţi route add 
default gw 'ip-address'. 


rootâleft-t+ route add default gw 192.168.60.1 


rooteright-t route add default gw 192.168.70.1 

Ar trebui să fiți capabili să faceți ping cînd expedierea pachet este activată 
(şi ambele gateway default sînt configurate corect). Ping nu va funcționa cînd 
destinația pachet este dezactivată sau cînd gateway-urile nu sînt configurate 
corect. 

5. Folosiţi wireshark sau tcpdump -xx pentru a răspunde următoarelor întrebări. 


Sursa MAC se schimbă cînd un pachet trece prin filtru? Şi MAC-ul destinație? Ce 
e cu sursa şi destinația adreselor ip? 


Ambele adrese MAC sînt schimbate cînd trec prin ruter. Folosiţi tcpdump -xx aşa: 
rootârouter-t tcpdump -xx -i ethl 
rootârouter-t tcpdump -xx -i eth2 
6. Vă amintiți de a treia placă de rețea de pe ruter? Conectaţi această placă de 
rețea cu un LAN cu conexiune internet. Comanda dhclient etho funcţionează pe mai 


multe LAN-uri (înlocuiți etho cu interfața corectă). 


rootârouter-t dhclient etho 


Aveţi acum o setare similară cu acest desen. Ce trebuie să fie făcut să dăm 
acces internet leftnet şi rightnet? 
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10.0.70.9 


Clienţii de pe leftnet şi rightnet au nevoie de un server dns care funcţionează. 
Folosim unul din serverele dns Google aici. 


echo nameserver 8.8.8.8 > /etc/resolv.conf 
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Capitolul 11. firewall iptables 


Acest capitol introduce unele reguli simple firewall şi cum să le configurați cu 
iptables. 


iptables este o aplicație care permite unui utilizator să configureze 
funcționalitatea firewall construită în kernel-ul Linux. 
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11.1. tabele iptables 
Prin default există trei tabele în kernel care conțin seturi de reguli. 
tabelul filtru este folosit pentru filtrarea pachetelor. 


rootedebian6-t iptables -t filter -L 


Chain INPUT (policy ACCEPT) 
target prot opt source destination 


Chain FORWARD (policy ACCEPT) 
target prot opt source destination 


Chain OUTPUT (policy ACCEPT) 
target prot opt source destination 


tabelul nat este folosit pentru translarea adresei. 


rootedebian6-t iptables -t nat -L 


Chain PREROUTING (policy ACCEPT) 
target prot opt source destination 


Chain POSTROUTING (policy ACCEPT) 


target prot opt source destination 
Chain OUTPUT (policy ACCEPT) 
target prot opt source destination 


tabelul amestecat (mangle table) poate fi folosit pentru scopuri speciale de 
procesare a pachetelor. 


Serii de reguli în fiecare tabel sînt denumite un lanț (chain). Vom discuta 
chains şi tabelul nat mai tîrziu în acest capitol. 


11.2. start şi stop iptables 


Următoarea captură de ecran arată cum să oprim şi să pornim iptables pe Red 
Hat/Fedora/CentoOS şi distribuțiile compatibile. 


[rootecentos6 =]t service iptables stop 
[rootecentos6 =] service iptables start 
iptables: Applying firewall rules 

[rootecentos6 =] [ok ] 


Debian şi distribuțiile *buntu nu au acest script, dar permit o dezinstalare. 
rootedebian6-t aptitude purge iptables 

11.3. tabelul filtru 

11.3.1. despre filtrarea pachetelor 

filtrarea pachetelor este ceva mai mult decît expedierea pachetelor. în timp ce 
expedierea pachetelor foloseşte doar un tabel rutare pentru a face decizii, 


filtrarea pachetelor foloseşte şi o listă de reguli. Kernel-ul va inspecta 
pachetele şi va decide bazîndu-se pe aceste reguli ce să facă cu fiecare pachet. 
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11.3.2. tabel filtru 


Tabelul filtru în iptables are trei lanțuri (seturi de reguli). Lanțul INPUT 
este folosit pentru orice pachet care intră în sistem. Lanțul OUTPUT este pentru 
orice pachet care pleacă din sistem. Şi lanțul FORWARD este pentru pachete care 
trec (sînt rutate) prin sistem. 


kernel 


Co > => 


Captura de ecran de mai jos arată cum să listăm tabelul filtru şi toate regulile 
lui. 


[rootQRHEL5 -]4 iptables -t filter -nL 


Chain INPUT (policy ACCEPT) 
target prot opt source destination 


Chain FORWARD (policy ACCEPT) 
target prot opt source destination 


Chain OUTPUT (policy ACCEPT) 
target prot opt source destination 
[rootQeRHEL5 =]4 


Precum puteți vedea, toate cele trei lanțuri în tabelul filtru sînt setate la 
ACCEPT orice. ACCEPT este comportarea default. 


11.3.3. setarea regulilor default 


Default pentru regula default este într-adevăr ACCEPT. Acesta nu este cel mai 
securizat firewall. 


O setare mai securizată ar fi DROP orice. Un pachet care este dropped (aruncat) 
nu va continua în nici un lanț, şi nici o avertizare sau eroare nu va fi trimisă 
nicăieri. 


Comenzile de mai jos blochează un computer. Nu executați aceste comenzi 
înăuntrul unui shell ssh remote. 
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rootedebianpaul-t iptables -P INPUT DROP 
rootedebianpaul-t iptables -P OUTPUT DROP 
rootedebianpaul-t iptables -P FORWARD DROP 
rootedebianpaul-t iptables -L 


Chain INPUT (policy DROP) 
target prot opt source destination 


Chain FORWARD (policy DROP) 
target prot opt source destination 


Chain OUTPUT (policy DROP) 
target prot opt source destination 


11.3.4. schimbarea regulilor politică 


Pentru a începe, haideţi să setăm politica default pentru toate cele trei 
lanțuri la DROP orice. Notați că s-ar putea să vă pierdeţi conexiunea cînd 
tastați asta în ssh ;-). 


[rootQRHEL5 =] iptables -P INPUT DROP 
[rooteRHEL5 -]4 iptables -P FORWARD DROP 
[rooteRHEL5 -]4 iptables -P OUTPUT DROP 


Apoi, permitem serverului să-şi folosească propriul lui dispozitiv loopback 
(asta permite serverului să-şi acceseze serviciile rulînd pe localhost). Mai 
întîi adăugăm regula lanțului INPUT să permită (ACCEPT) trafic de la interfața 
lo (loopback), apoi facem acelaşi lucru pentru a permite pachetelor să 
părăsească sistemul prin interfața loopback. 


[rootQeRHEL5 =-]4 iptables -A INPUT -i lo -j ACCEPT 
[rootQeRHEL5 =-]4 iptables -A OUTPUT -o lo -j ACCEPT 


Ne uităm la tabelul filtru din nou (omițînd filtrul -t pentru că el este tabelul 
default). 


[rooteRHEL5 -]4 iptables -nL 

Chain INPUT (policy DROP) 

target prot opt source destination 
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 


Chain FORWARD (policy DROP) 
target prot opt source destination 


Chain OUTPUT (policy DROP) 
target prot opt source destination 
ACCEPT all —- 0.0.0.0/0 0.0.0.0/0 


11.3.5. permitere ssh deasupra etho 


Acest exemplu arată cum să adăugăm două reguli pentru a permite acces ssh la 
sistem din afară. 


[rootQRHEL5 -]+ iptables -A INPUT -i etho -p tcp --dport 22 -j ACCEPT 
[rooteRHEL5 -]+ iptables -A OUTPUT -o etho -p tcp --sport 22 -j ACCEPT 


Tabelul filtru va arăta cam la fel cu această captură de ecran (notaţi că -v 
este adăugat pentru o ieşire cu mai multe date). 
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[rooteRHEL5-]+ iptables -nvL 


Chain INPUT (policy DROP 7 packets, 609 bytes) 


pkts bytes target prot opt in out source 
0) 0) ACCEPT all  -—- lo x 0.0.0.0/0 
0) 0) ACCEPT tcp  —- etho x 0.0.0.0/0 


Chain FORWARD (policy DROP 0 packets, 0 bytes) 
pkts bytes target prot opt in out source 


Chain OUTPUT (policy DROP 3 packets, 228 bytes) 


pkts bytes target prot opt in out source 
0) O ACCEPT all -- x lo 0.0.0.0/0 
0) O ACCEPT tcp —- x etho 0.0.0.0/0 


[rootQRHEL5 =-]% 


11.3.6. permiterea accesului dintr-un subnet 


destination 
0.0.0.0/0 
0.0.0.0/0 tcp dpt:22 


destination 


destination 
0.0.0.0/0 
0.0.0.0/0 tcp spt:22 


Acest exemplu arată cum să permitem accesul oricărui computer în rețeaua 
10.1.1.0/24, dar doar prin eth1. Nu există o limitare port (aplicaţie) aici. 


[rooteRHEL5 -]+ iptables -A INPUT -i eth1l -s 10.1.1.0/24 -p tcp -j ACCEPT 
[rootQRHEL5 -]+ iptables -A OUTPUT -o eth1l -d 10.1.1.0/24 -p tcp -j ACCEPT 


împreună cu exemplele de mai înainte, politica se măreşte. 


[rooteRHEL5-]+ iptables -nvL 
Chain INPUT (policy DROP 7 packets, 609 bytes) 
pkts bytes target prot opt in out source 


0) O ACCEPT all -- lo x 0.0.0.0/0 
0) O ACCEPT tcp -- etho x 0.0.0.0/0 
0) O ACCEPT tcp -- eth1l x 10.1.1.0/24 


Chain FORWARD (policy DROP 0 packets, 0 bytes) 
pkts bytes target prot opt în out source 


Chain OUTPUT (policy DROP 3 packets, 228 bytes) 


pkts bytes target prot opt în out source 

0) O ACCEPT all —-- x lo 0.0.0.0/0 
0) O ACCEPT tcp —- x etho 0.0.0.0/0 
0) O ACCEPT tcp —- x ethl 0.0.0.0/0 


11.3.7. iptables save 


destination 
0.0.0.0/0 

0.0.0.0/0 tcp dpt:22 
0.0.0.0/0 


destination 


destination 
0.0.0.0/0 

0.0.0.0/0 tcp spt:22 
10.1.1.0/24 


Folosiţi iptables save pentru a implementa automatic aceste reguli cînd 


firewall-ul este (rejstartat. 


[rooteRHEL5 -]4 /etc/init.d/iptables save 


Saving firewall rules to /etc/sysconfig/iptables: [ OK |] 


[rootQRHEL5 =-]% 


11.3.8. script exemplu 


Puteți scrie un script simplu pentru aceste reguli. Mai jos este un script 
exemplu care implementează regulile firewall pe care le-aţi văzut înainte în 


acest capitol. 


87 


4! /bin/bash 

+ mai întîi curăţăm tot 
iptables -t filter -F 
iptables -t filter -X 
iptables -t nat -F 
iptables -t nat -X 

+ drop default 

iptables -P INPUT DROP 
iptables -P FORWARD DROP 
iptables -P OUTPUT DROP 


+ permitere dispozitiv loopback 
iptables -A INPUT -i lo -j ACCEPT 
iptables -A OUTPUT -o lo -j ACCEPT 


+ permitere ssh deasupra etho din afară la sistem 
iptables -A INPUT -i etho -p tcp --dport 22 -j ACCEPT 
iptables -A OUTPUT -o etho -p tcp --sport 22 -j ACCEPT 


+ permitere orice trafic de la 10.1.1.0/24 la sistem 
iptables -A INPUT -i ethl -s 10.1.1.0/24 -p tcp -j ACCEPT 
iptables -A OUTPUT -o ethl -d 10.1.1.0/24 -p tcp -j ACCEPT 


11.3.9. permitere ICMP (ping) 


Cînd autorizați iptables, veți primi un mesaj 'Operation not permitted' cînd 
încercați să faceți ping altui nume de maşină. 


[rootQRHEL5 =+ ping 192.168.187.130 

PING 192.168.187.130 (192.168.187.130) 56(84) bytes of data. 
ping: sendmsg: Operation not permitted 

ping: sendmsg: Operation not permitted 


Captura de ecran de mai jos arată cum să setați iptables pentru a permite un 
ping de la sau la maşină. 


[rooteRHEL5 -]+ iptables -A INPUT -p îicmp --icmp-type any -j ACCEPT 

[rooteRHEL5 -]+ iptables -A OUTPUT -p icmp --icmp-type any -j ACCEPT 

Cele două linii de mai sus nu permit altor computere să ruteze mesaje ping prin 
ruter, deoarece are grijă doar de INPUT şi OUTPUT. Pentru rutarea ping, va 
trebui să o autorizați în lanțul FORWARD. Următoarea comandă autorizează rutarea 
mesajelor icmp între rețele. 


[rootQRHEL5 -]+ iptables -A FORWARD -p icmp --icmp-type any -j ACCEPT 
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11.4. practică: filtrare pachet 


1. Asiguraţi-vă că puteți intra cu ssh în sistemul-ruter cînd iptables este 
activ. 


2. Asiguraţi-vă că puteți face ping sistemului-ruter cînd iptables este activ. 
3. Definiţii una dintre reţele ca 'internă' şi alta ca 'externă'. Configuraţi 
ruter-ul să permită vizite la un website (http) să meargă de la rețeaua internă 


la reţeaua externă (dar nu în direcție inversă). 


4. Asiguraţi-vă că rețeaua internă poate avea legătură ssh cu cea externă, dar 
nu invers. 
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11.5. soluție: filtrare pachet 


O soluție posibilă, unde leftnet este rețeaua internă şi rightnet este cea 
externă. 


4! /bin/bash 

+ mai întîi curăţăm tot 
iptables -t filter -F 
iptables -t filter -X 
iptables -t nat -F 
iptables -t nat -X 


+ default drop 

iptables -P INPUT DROP 
iptables -P FORWARD DROP 
iptables -P OUTPUT DROP 


+ permitere dispozitiv loopback 
iptables -A INPUT -i lo -j ACCEPT 
iptables -A OUTPUT -o lo -j ACCEPT 


+ întrebarea 1: permitere ssh deasupra etho 
iptables -A INPUT -i etho -p tcp --dport 22 -j ACCEPT 
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -j ACCEPT 


4 întrebarea 2: permitere icmp (ping) oriunde 
iptables -A INPUT -p icmp --icmp-type any -j ACCEPT 
iptables -A FORWARD -p icmp --icmp-type any -j ACCEPT 
iptables -A OUTPUT -p icmp --icmp-type any -j ACCEPT 


4 întrebarea 3: permitere http din interior (leftnet) la exterior (rightnet) 
iptables -A FORWARD -i ethl -o eth2 -p tcp --dport 80 -j ACCEPT 
iptables -A FORWARD -i eth2 -o ethl -p tcp --sport 80 -j ACCEPT 


4 întrebarea 4: permitere ssh din interior (leftnet) la exterior (rightnet) 
iptables -A FORWARD -i ethl -o eth2 -p tcp --dport 22 -j ACCEPT 
iptables -A FORWARD -i eth2 -o ethl -p tcp --sport 22 -j ACCEPT 


+ permitere http din exterior (rightnet) la interior (leftnet) 
4 iptables -A FORWARD -i eth2 -o eth1l -p tcp --dport 80 -j ACCEPT 
4 iptables -A FORWARD -i ethl -o eth2 -p tcp --sport 80 -j ACCEPT 


+ permitere rpcinfo deasupra etho din afara sistemului 
iptables -A INPUT -i eth2 -p tcp --dport 111 -j ACCEPT 
4 iptables -A OUTPUT -o eth2 -p tcp --sport 111 -j ACCEPT 


=== 
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11.6. network address translation (translarea adresei network) 

11.6.1 despre NAT 

Un dispozitiv NAT este un ruter care de asemeni schimbă sursa şi/sau ținta 
adresei ip în pachete. Este în mod tipic folosit pentru a conecta mai multe 
computere într-o rază de acțiune adresă privată cu internetul (public). Un NAT 
poate ascunde adresele private de pe internet. 

NAT a fost dezvoltat pentru a modera folosirea adresei ip reale, pentru a 
permite adreselor private să ajungă în internet şi înapoi, şi pentru a nu 
dezvălui detalii despre reţele interne către exterior. 

Tabelul NAT în iptables adaugă două noi lanțuri. PREROUTING permite alterarea 


pachetelor înainte ca ele să ajungă în lanțul INPUT. POSTROUTING permite 
alterarea pachetelor după ce ele ies din lanțul OUTPUT. 


DEEE => (=> => 0 


3 


Folosiţi iptables -t nat -nvL pentru a privi la tablelul NAT. Captura de ecran 
de mai jos arată un tabel NAT gol. 


[rooteRHEL5 -]4 iptables -t nat -nL 
Chain PREROUTING (policy ACCEPT) 
target prot opt source destination 


Chain POSTROUTING (policy ACCEPT) 
target prot opt source destination 


Chain OUTPUT (policy ACCEPT) 
target prot opt source destination 
[rootQeRHEL5 =]4 


11.6.2. SNAT (Sursă NAT) 


Scopul Sursă NAT este să schimbe adresa sursă în interiorul unui pachet înainte 
de a pleca din sistem (de exemplu spre internet). Destinația va întoarce 
pachetul la un dispozitiv-NAT. Asta înseamnă că dispozitivul nostru NAT va 
trebui să țină un tabel în memorie a tuturor pachetelor pe care le schimbă, 
astfel încât să trimită pachetul sursei originale (de ex. în rețeaua privată). 


Pentru că în SNAT este vorba de pachete care pleacă din sistem, el foloseşte 
lanțul POSTROUTING. 


Aici este un exemplu de regulă SNAT. Regula spune că pachetele care vin de la 
rețeaua 10.1.1.0/24 şi ies prin eth1 vor lua adresa sursă ip setată la 
11.12.13.14 (Notaţți că acest exemplu este o singură linie de comandă!). 


iptables -t nat -A POSTROUTING -o ethl -s 10.1.1.0/24 -j SNAT | 
--to-source 11.12.13.14 
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Desigur trebuie să existe o setare corectă a filtrului iptables pentru a permite 
pachetului să traverseze dintr-o reţea în alta. 


11.6.3. exemplu setare SNAT 


Acest script exemplu foloseşte o setare nat tipică. Reţeaua internă (eth0) are 
acces prin SNAT la webservere (port 80) externe (eth1). 


4! /bin/bash 

ii 

4 iptables script for simple classic nat websurfing 

i etho is internal network, eth1l is internet 

ii 

echo 0 > /proc/sys/net/îipv4/ip_forward 

iptables -P INPUT ACCEPT 

iptables -P OUTPUT ACCEPT 

iptables -P FORWARD DROP 

iptables -A FORWARD -i etho -o ethl -s 10.1.1.0/24 -p tcp i 
--dport 80 -j ACCEPT 

iptables -A FORWARD -i ethl -o etho -d 10.1.1.0/24 -p tcpi 
--sport 80 -j ACCEPT 

iptables -t nat -A POSTROUTING -o ethl -s 10.1.1.0/24 -j SNAT A 
--to-source 11.12.13.14 

echo 1 > /proc/sys/net/ipv4/ip_forward 


11.6.4. mascare IP 

Mascarea IP (IP masquerading) este similară cu SNAT, dar este făcută pentru 
interfețele dinamice. Exemple tipice sînt ruterele/modemurile broadband 
conectate la internet care primesc o adresă ip diferită de la ofertantul de 
servicii internet, de fiecare dată cînd sînt butate. 


Singura schimbare necesară pentru a converti scriptul SNAT la masquerading este 
o linie. 


iptables -t nat -A POSTROUTING -o ethl -s 10.1.1.0/24 -j MASQUERADE 

11.6.5. DNAT (Destinaţție NAT) 

DNAT este în mod tipic folosit pentru a permite pachetelor din internet să fie 
redirectate la un server intern (în DMZ) şi într-o rază de acțiune de adresă 


privată care este inaccesibilă direct din internet. 


Acest script exemplu permite utilizatorilor internet să ajungă la serverul 
nostru intern (192.168.1.99) prin ssh (portul 22). 
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4! /bin/bash 


ii 


4 iptables script for DNAT 
i etho is internal network, eth1l is internet 


iii 

echo 0 > 
iptables 
iptables 
iptables 
iptables 
iptables 
iptables 


/proc/sys/net/ipv4/ip_forward 


-P 
-P 
-P 


INPUT ACCEPT 

OUTPUT ACCEPT 

FORWARD DROP 

FORWARD -i etho -o ethl -s 10.1.1.0/24 -j ACCEPT 
FORWARD -i ethl -o etho -p tcp --dport 22 -j ACCEPT 
nat -A PREROUTING -i ethl -p tcp --dport 22 | 


-j DNAT --to-destination 10.1.1.99 
echo 1 > /proc/sys/net/îipv4/îip_forward 
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Partea IV. SELinux 
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Capitolul 12. introducere la SELinux 


Security Enhanced Linux sau SELinux (Securitate Linux Îmbunătățită) este un set 
de modificări dezvoltate de Agenția Naţională a Securității Statelor Unite (NSA) 
pentru a da o varietate de politici de securitate pentru Linux. SELinux a fost 
dat în folosire ca sursă deschisă la sfîrşitul anului 2000. De la versiunea 
kernel 2.6 este o parte integrată a Linux-ului. 


SELinux oferă securitate! SELinux poate controla ce tip de acces au utilizatorii 
la fişiere şi procese. Chiar cînd un fişier a primit chmod 777, SELinux poate în 
continuare să împiedice aplicaţiile să îl acceseze (permisiunile fişier Unix 
sînt verificate mai întîi!). SELinux face asta plasînd utilizatorii în roturi 
care reprezintă un context de securitate. Administratorii pot avea control 
foarte strict asupra permisiunilor de acces garantate rolurilor. 


SELinux este prezent în ultimele versiuni a Red Hat Enterprise Linux, Debian, 
CentOS, Fedora, şi multe alte distribuții. 
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12.1. moduri selinux 


selinux cunoaşte trei moduri: enforcing (constrîns) permissive (permisiv) şi 
disabled (dezactivat). Modul constrîns va forța politici, şi poate nega accesul 
bazat pe reguli selinux. Modul permisiv nu va forța politici, dar poate totuşi 
să jurnalizeze acţiuni care ar fi negate în modul constrâns. Modul dezactivat 
dezactivează selinux. 


12.2. jurnalizare 


Verificaţi dacă syslog este executat şi activat la boot pentru a autoriza 
jurnalizarea mesajelor negate în /var/log/messages. 


[rooterhel55 -]i chkconfig --list syslog 
syslog o:o0ff 1:off 2:0n 3:0n 4:0n 5:on 6:0ff 


Verificaţi dacă auditd este executat şi activat la boot pentru a autoriza 
jurnalizarea mesajelor mai uşor de citit în /var/log/audit/audit. log. 


[rooterhel55 -]t chkconfig --list auditd 
auditd Q:o0ff 1:o0ff 2:0n 3:0n 4:on 5:on 6:0ff 


Dacă nu este activat, atunci executați chkconfig --levels 2345 auditd on şi 
service auditd.start. 


[rootarhel55 -]4 service auditd status 
auditd (pid 1660) is running... 
[rooterhel55 =] service syslog status 
syslogd (pid 1688) is running... 

klogd (pid 1691) is running... 


Fişierul de jurnalizare /var/log/messages vă va spune că selinux este 
dezactivat. 


rootâdeb503:-+ grep -i selinux /var/log/messages 
Jun 25 15:59:34 deb503 kernel: | 0.084083] SELinux: Disabled at boot. 


Sau că este autorizat. 


rootedeb503:-4 grep SELinux /var/log/messages | grep -i Init 
Jun 25 15:09:52 deb503 kernel: [| 0.084094] SELinux: Initializing. 


12.3. activare selinux 


Pe RHEL puteți folosi utilitarul GUI pentru a activa selinux, pe Debian există 
comanda selinux-activate. Activarea cere un reboot. 


rootedeb503:-4% selinux-activate 
Activating SE Linux 


Searching for GRUB installation directory ... found: /boot/grub 

Searching for default file ... found: /boot/grub/default 

Testing for an existing GRUB menu.lst file ... found: /boot/grub/menu.Ist 
Searching for splash image ... none found, skipping ... 

Found kernel: /boot/vmlinuz-2.6.26-2-686 

Updating /boot/grub/menu.lIst ... done 


SE Linux is activated. You may need to reboot now. 
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12.4. getenforce 


Folosiţi getenforce pentru a verifica dacă selinux este constrâns, dezactivat 
sau permisiv. 


[rooterhel55 -]t getenforce 
Permissive 


Fişierul /selinux/enforce conține 1 cînd este constrâns, şi 0 cînd modul 
permisiv este activ. 


rootefedoral3 -4 cat /selinux/enforce 
1rootQfedora13 -4 


12.5. setenforce 


Puteți folosi setenforce pentru a schimba între statusul permisiv sau constrîns 
odată ce selinux este activat. 


[rooterhel55 -]t setenforce Enforcing 
[rooterhel55 -]t getenforce 

Enforcing 

[rooterhel55 -]4 setenforce Permissive 
[rooterhel55 -]t getenforce 

Permissive 


Sau puteți folosi doar 0 şi 1 ca argument. 


[rooteacentos65 -]t setenforce 1 
[rootecentos65 -]4 getenforce 
Enforcing 

[rootecentos65 -]t setenforce 0 
[rootecentos65 -]4 getenforce 
Permissive 

[rootecentos65 -]% 


12.6. sestatus 


Puteți vedea status-ul curent selinux şi politica cu comanda sestatus. 


[rootarhel55 -]4 sestatus 


SELinux status: enabled 
SELinuxfs mount: /selinux 
Current mode: permissive 
Mode from config file: permissive 
Policy version: 21 


Policy from config file: targeted 
12.7. politică 


Cele mai multe servere Red Hat vor avea politica targeted (ţintă). Doar 
NSA/FBI/CIA/DOD/HLS folosesc politica mls. 


Politica țintă va proteja sute de procese, dar lasă alte procese să ruleze 
"libere! (= ele nu pot face nimic). 


98 


12.8. /etc/selinux/config 


Fişierul principal de configurare pentru selinux este /etc/selinux/config. Când 
este în modalitate permisiv, fişierul arată astfel. 


Politica țintă este selectată în /etc/selinux/config. 
[rootecentos65 -]t+ cat /etc/selinux/config 


+ This file controls the state of SELinux on the system. 
 SELINUX= can take one of these three values: 


ii enforcing - SELinux security policy is enforced. 
ii permissive - SELinux prints warnings instead of enforcing. 
ii disabled - SELinux is fully disabled. 


SELINUX=permissive 

4 SELINUXTYPE= type of policy in use. Possible values are: 

i. targeted - Only targeted network daemons are protected. 
ii strict - Full SELinux protection. 

SELINUXTYPE=targeted 


12.9. DAC sau MAC 

Permisiunile Standard Unix folosesc Discretionary Access Control (DAC) (Control 
de Acces Discreţțional) pentru a seta permisiuni asupra fişierelor. Asta înseamnă 
că un utilizator care deține un fişier, poate să-l facă să fie citit de către 
toată lumea tastînd chmod 777$file. 

Cu selinux kernel-ul va constrînge Mandatory Access Control (MAC) (Control de 
Acces Mandatoriu) care controlează în mod strict ce procese sau şiruri poate 
face cu fişiere (înlocuind DAC). Procesele sînt restrînse de către kernel la 
accesul minim pe care ele le cer. 

SELinux MAC există pentru etichetare şi constrângere tip! Fişierele, procesele, 
etc. toate sînt etichetate cu un context SELinux. Pentru fişiere, acestea sînt 
atribute extinse, pentru procese acestea sînt manipulate de către kernel. 
Formatul etichetărilor este precum urmează: 

user:role:type: (level) 

Folosim doar eticheta type în politica ţintă. 


12.10. ls -Z 


Pentru a vedea permisiunile DAC asupra unui fişier, folosiți Is -l pentrua 
afişa utilizatorul şi grupul proprietar şi permisiunile. 


Pentru permisiunile MAC există o nouă opțiune -Z adăugată la ls. Ieşirea arată 
că fişierul în /root are un tip XXX de admin home t. 


[rootâcentos65 -]t ls -Z 


rw „ root root system _u:object_r:admin_home_t:s0 anaconda-ks.cfg 
-rw-r--r--, root root system_u:object_r:admin_home_t:s0 install.log 
-rw-r--r--. root root system u:object_r:admin_home_t:s0 install.log.syslog 


[rootecentos65 -]+ useradd -m -s /bin/bash pol 
[rootecentos65 -]4 Is -Z /home/pol/.bashre 
-rw-r--r--. pol pol unconfined_u:object_r:user_home_t:s0 /home/pol/.bashrc 
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12.11. -Z 

Există de asemeni alte utilitare cu întrerupătorul -z: 
mkdir -Z 

cp -Z 

ps -Z 

netstat -Z 


12.12. /selinux 


Cînd selinux este activ, există un nou sistem de fişier virtual numit /selinux. 
(Puteţi să-l comparați cu /proc şi /dev). 


[rooteacentos65 =] Is -l /selinux/ 


total 0 

-rw-rw-rw-. 1 root root Apr 12 19:40 access 

dr-xr-xr-x. 2 root root Apr 12 19:40 avc 

dr-xr-xr-x. 2 root root Apr 12 19:40 booleans 

-rw-r--r--. 1 root root Apr 12 19:40 checkreqprot 
dr-xr-xr-x. 83 root root Apr 12 19:40 class 

== „1 root root Apr 12 19:40 commit_pending_bools 


-rw-rw-rw-. 1 root root 
-rw-rw-rw-. 1 root root 


Apr 12 19:40 context 
Apr 12 19:40 create 


0) 

0) 

0) 

0) 

0) 

(0) 

(0) 

0) 
-r-==r==r-, 1 root root O Apr 12 19:40 deny_unknown 
wi A root root O Apr 12 19:40 disable 
-rw-r--r--. 1 root root O Apr 12 19:40 enforce 
dr-xr-xr-x. 2 root root O Apr 12 19:40 initial_contexts 
—rw= === „1 root root O Apr 12 19:40 load 
-rw-rw-rw-. 1 root root 0 Apr 12 19:40 member 
-p--r--r--. 1 root root 0 Apr 12 19:40 mls 
crw-rw-rw-. 1 root root 1,3 Apr 12 19:40 null 
pp Pi | root root O Apr 12 19:40 policy 
dr-xr-xr-x. 2 root root O Apr 12 19:40 policy_capabilities 
>> d root root O Apr 12 19:40 policyvers 
uzi cica cil i 0 E root root 0 Apr 12 19:40 reject_unknown 
-rw-rw-rw-, 1 root root O Apr 12 19:40 relabel 
=pssp=sp=a root root 0 Apr 12 19:40 status 
-rw-rw-rw-. 1 root root 0 Apr 12 19:40 user 


Chiar dacă unele fişiere în /selinux apar cu mărimea 0, ele deseori conțin o 
valoare boolean. Verificaţi /selinux/enforce pentru a vedea dacă selinux rulează 
în mod constrîns (enforced mode). 


[rootQRHEL5 -]% 1s -1 /selinux/enforce 

-rw-r--r-- 1 root root 0 Apr 29 08:21 /selinux/enforce 
[rootGRHEL5 =]4 echo ș(cat /selinux/enforce) 

1 


12.13. identitate 
Identitatea SELinux a unui utilizator este distinctă față de user ID. 0 
identitate este parte a contextului securității, şi (via domenii) determină ce 


puteți face. Captura de ecran de mai jos arată utilizatorul root avînd 
identitatea user_u. 
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[rootarhel55 =] id -Z 
user_u:system_r:unconfined_t 


12.14. rol 


selinux rol defineşte domeniile care pot fi utilizate. Unui rol îi este interzis 
să intre într-un domeniu, doar dacă rolul este în mod explicit autorizat să facă 
asta. 


12.15. tip (sau domeniu) 


selinux context este contextul securității unui proces. Un selinux tip determină 
ce poate face un proces. Captura de ecran arată init rulînd în tip iînit_t şi 
mingetty rulînd în tip gettyt. 


[rootecentos65 -]t ps fax -Z | grep /sbin/init 
system_u:system_r:init_t:s0 1 2? Ss 0:00 /sbin/init 
[rootecentos65 -]t ps fax -Z | grep getty_t 

system_u:system_r:getty_t:s0 1307 ttyl Ss+ 
system_u:system_r:getty_t:s0 1309 tty2 Ss+ 
system_u: system_r:getty_t:s0 1311 tty3 Ss+ 
system_u:system_r:getty_t:s0 1313 tty4 Ss+ 
system_u:system_r:getty_t:s0 1320 tty5 Ss+ 
system_u:system_r:getty_t:s0 1322 tty6 Ss+ 


:00  /sbin/mingetty /dev/tty1 
:00  /sbin/mingetty /dev/tty2 
:00  /sbin/mingetty /dev/tty3 
:00  /sbin/mingetty /dev/tty4 
:00  /sbin/mingetty /dev/tty5 
:00  /sbin/mingetty /dev/tty6 


lolioliojioliolio) 


selinux tip este similar cu un selinux domain, dar face referire la directoare 
şi fişiere în loc de procese. 


Sute de executabile au de asemeni un tip: 


[rootecentos65 sbin]t Is -lZ useradd usermod userdel httpd postcat postfix 
-rwxr-xr-x. root root system u:object_r:httpd_exec_t:s0 httpd 

-rwxr-xr-x. root root system _u:object_r:postfix_master_exec_t:s0 postcat 
-rwxr-xr-x. root root system_u:object_r:postfix_master_exec_t:s0 postfix 


-rwxr-x---. root root system u:object_r:useradd_exec_t:s0 useradd 
-rwxr-x---. root root system_u:object_r:useradd_exec_t:s0 userdel 
-rwxr-x=--, root root system_u:object_r:useradd_exec_t:s0 usermod 


Porturile au de asemeni un context. 
[rootecentos65 sbin]t netstat -nptiz | tr -s ! ! | cut -d! ! -f6- 


Foreign Address State PID/Program name Security Context 
LISTEN 1096/rpcbind system_u:system_r:rpcbind_t:s0 
LISTEN 1208/sshd system_u:system_r:sshd_t:s0-s0:c0.c1023 
LISTEN 1284/master system_u:system_r:postfix_master_t:s0 
LISTEN 1114/rpc.statd system _u:system_r:rpcd_t:s0 

LISTEN 1096/rpcbind system_u:system_r:rpcbind_t:s0 
LISTEN 1666/httpd unconfined_u:system_r:httpd_t:s0 
LISTEN 1208/sshd system_u:system_r:sshd_t:s0-s0:c0.c1023 
LISTEN 1114/rpc.statd system _u:system_r:rpcd_t:s0 

LISTEN 1284/master system_u:system_r:postfix_master_t:s0 


Puteţi de asemeni obține o listă a porturilor care sînt aranjate de SELinux: 
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[rootecentos65 =]! semanage port -l | tail 


xfs_port_t tcp 7100 
xserver_port_t tcp 6000-6150 
zabbix_agent_port_t tcp 10050 
zabbix_port_t tcp 10051 
zarafa_port_t tcp 236, 237 
zebra_port_t tcp 2600-2604, 2606 
zebra_port_t udp 2600-2604, 2606 
zented_port_t tcp 1229 
zented_port_t udp 1229 
zope_port_t tcp 8021 


12.16. context securitate 

Combinația de identitate, rol şi domeniu sau tip constituie contextul 
securității selinux. id vă va arăta contextul securității dvs. în formatul 
identity:role:domain. 


[pauleRHEL5 =]$ id | cut -d' ! -f4 
context=user_u:system_r:unconfined_t 


Comanda Is -Z arată contextul securității pentru un fişier în forma 
identity:role:type. 


[pauleRHEL5 =]$ ls -Z test 
-rw-rw-r-- paul paul user_u:object_r:user_home_t test 


Contextul securităţii pentru procese vizibile în /proc defineşte şi tipul 
(fişierului în /proc) şi domeniul (proceselor care rulează). Să privim la 
procesul init şi /proc/1/. 


Procesul init rulează în domeniul init_t. 


[rootQeRHEL5 -]4 ps -ZC init 
LABEL PID TIY TIME CMD 
system_u:system_r:init_t 1 ? 00:00:01 init 


Directorul /proc/1/, care identifică procesul init, are tipul init_t. 


[rootQeRHEL5 =-]4 Is -Zd /proc/1/ 
dr-xr-xr-x root root system_u:system_r:init_t /proc/1/ 


Nu este o coincidenţă că domeniul procesului init şi tipul /proc/1/ sînt ambele 
init_t. 


Nu încercați să folosiți chcon asupra /proc! Nu va funcționa. 

12.17. tranziție 

O tranziție selinux (de asemeni cunoscută şi ca etichetare selinux) determină 
contextul securităţii care va fi desemnat. 0 tranziție a proceselor domenii este 
folosit cînd executați un proces. 0 tranziţie a tipului de fişier se petrece 


cînd creați un fişier. 


Un exemplu de tranziție tip fişier. 
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[polecentos65 -]$ touch test /tmp/test 
[polecentos65 -]$ Ils -Z test 


-rw-rw-r--. pol pol unconfined_u:object_r:user_home_t:s0 test 
[polecentos65 -]$ Is -Z /tmp/test 
-rw-rw-r--. pol pol unconfined_u:object_r:user_tmp_t:s0 /tmp/test 


12.18. atribute extinse 


Atributele extinse sînt utilizate de selinux pentru a stoca contexte de 
securitate. Aceste atribute pot fi văzute cu Is cînd selinux rulează. 


[rootQRHEL5 home]t 1s --context 

drwx-——=—=-— paul paul system_u:object_r:user_home_dir_t paul 
drwxr-xr-x root root user_u:object_r:user_home_dir_t project42 
drwxr-xr-x root root user_u:object_r:user_home_dir_t project55 
[rootQRHEL5 home] Is -Z 

drwx--——-- paul paul system _u:object_r:user_home_dir_t paul 
drwxr-xr-x root root user_u:object_r:user_home_dir_t project42 
drwxr-xr-x root root user_u:object_r:user_home_dir_t project55 
[rootQRHEL5 home]t 


Cînd selinux nu se execută, atunci getfattr este utilitarul de folosit. 


[rooteRHEL5 etc]t getfattr -m . -d hosts 
+ file: hosts 
security.selinux="system_u:object_r:etc_t:s01000" 


12.19. contextul securității proceselor 


O nouă opțiune este adăugată la ps pentru a vedea contextul securității 
proceselor selinux. 


[rootQRHEL5 etc] ps -ZC mingetty 


LABEL PID TTIY TIME CMD 
system_u:system_r:getty_t 2941 ttyl 00:00:00 mingetty 
system_u:system_r:getty_t 2942 tty2 00:00:00 mingetty 


12.20. chcon 
Folosiţi chcon pentru a schimba contextul securității selinux. 


Acest exemplu arată cum se foloseşte chcon pentru a schimba tipul unui fişier. 


[rooterhel55 -]t Is -Z /var/wmm/html/test42.txt 

-rw-r--r-- root root user_u:object_r:httpd_sys_content_t /var/wumw/html/test4! 

2. txt 

[rooterhel55 -]t chcon -t samba_share_t /var/wwm/html/test42.txt 

[rooterhel55 -]t Is -Z /var/wmm/html/test42.txt 

-rw-r--r-- root root user_u:object_r:samba_share_t /var /wmm/html/test42.txt 


Asiguraţi-vă că veți citi man chcon. 
12.21. un exemplu 
Apache2 webserver este prin default ţintă cu SELinux. Următoarea captură de 


ecran arată că orice fişier creat în /var/wwm/html va lua prin default tipul 
httpd_sys_ content_t. 
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[rootecentos65 -]t touch /var/wmm/html/test42.txt 

[rootecentos65 -]t Is -Z /var/wmm/html/test42.txt 

-rw-r--r--, root root unconfined_u:object_r:httpd_sys_content_t:s0 /var/wmm/hi 
tml/test42.txt 


Fişierele create altundeva nu vor lua acest tip. 


[rooteacentos65 -]t touch /root/test42.txt 
[rooteacentos65 -]t ls -Z /root/test42.txt 
-rw-r--r--. root root unconfined_u:object_r:admin_home_t:s0 /root/test42.txt 


Asiguraţi-vă că Apache2 rulează. 


[rootecentos65 =] service httpd restart 
Stopping httpd: [ OK ] 
Starting httpd: [ OK ] 


Va funcționa? Da. 


[rootecentos65 -]4 wget http://localhost/test42.txt 
--2014-04-12 20:56:47-- http://localhost/test42.txt 
Resolving localhost... ::1, 127.0.0.1 

Connecting to localhost|::1|:80... connected. 

HTTP request sent, awaiting response... 200 OK 
Length: 0 [text/plain] 

Saving to: “test42.txt” 


De ce funcționează? Pentru că Apache2 rulează în domeniul httpd_t şi fişierele 
în /var/wwm/html au tipul httpd_sys content _t. 


[rootecentos65 =] ps -ZC httpd | head -4 


LABEL PID TIY TIME CMD 

unconfined_u:system_r:httpd_t:s0 1666 ? 00:00:00 httpd 
unconfined_u:system_r:httpd_t:s0 1668 ? 00:00:00 httpd 
unconfined_u:system_r:httpd_t:s0 1669 ? 00:00:00 httpd 


Aşa că să setăm SELinux la constrâns şi să schimbăm tipul acestui fişier. 


[rootâcentos65 -]4 chcon -t samba _share_t /var/wmw/html/test42.txt 
[rootecentos65 -]t Is -Z /var/wmm/html/test42.txt 

-rw-r--r--. root root unconfined_u:object_r:samba_share_t:s0 /var/wmm/html/ti 
est42.txt 

[rootecentos65 -]t setenforce 1 

[rootecentos65 -]4 getenforce 

Enforcing 


Există două posibilități acum: fie funcţionează, fie eşuează. Funcționează cînd 
selinux este în modul permisiv, eşuează cînd este în modul constrâns 
(enforcing) . 


[rootecentos65 -]4 wget http://localhost/test42.txt 
--2014-04-12 21:05:02-- http://localhost/test42.txt 


Resolving localhost... ::1, 127.0.0.1 
Connecting to localhost|::1|:80... connected. 
HTTP request sent, awaiting response... 403 Forbidden 


2014-04-12 21:05:02 ERROR 403: Forbidden. 
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Fişierul jurnal vă dă un mesaj criptic.. 


[rootecentos65 -]+ tail -3 /var/log/audit/audit.log 

type=SYSCALL msg=audit(1398200702.803:64): arch=c000003e syscall=4 succi 
ess=no exit=-13 a0=7f5fbc334d70 a1=7fff553b4f10 a2=7fff553b4f10 a3=0 iti 
ems=0 ppid=1666 pid=1673 auid=500 uid=48 gid=48 euid=48 suid=48 fsuid=4| 
8 egid=48 sgid=48 fsgid=48 tty=(none) ses=1 comm="httpd" exe="/usr/sbini 
/httpd" subj=unconfined_u:system_r:httpd_t:s0 key=(null) 

type=AVC msg=audit(1398200702.804:65): avc: denied î getattr ) for pi 
id=1673 comm="httpd" path="/var/wwm/html/test42.txt" dev=dm-0 în0=26324| 
1 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=unconfined_u:objeci 
t_r:samba_share_t:s0 tclass=file 

type=SYSCALL msg=audit(1398200702.804:65): arch=c000003e syscall=6 succi 
ess=no exit=-13 a0=7f5fbc334e40 a1=7fff553b4f10 a2=7fff553b4f10 a3=1 iti 
ems=0 ppid=1666 pid=1673 auid=500 uid=48 gid=48 euid=48 suid=48 fsuid=4| 
8 egid=48 sgid=48 fsgid=48 tty=(none) ses=1 comm="httpd" exe="/usr/sbini 
/httpd" subj=unconfined_u:system_r:httpd_t:s0 key=(null) 


Şi /var/log/messages nu menționează nimic despre download-ul eşuat. 
12.22. setroubleshoot 


Fişierul jurnal de deasupra nu a fost de mare ajutor, dar aceste două pachete vă 
pot face viața mult mai uşoară. 


[rootecentos65 -]4 yum -y install setroubleshoot setroubleshoot-server 
Trebuie să rebutați ca asta să funcționeze .. 


Aşa că am rebutat, restartat serverul httpd, reactivat SELinux Enforce, şi am 
făcut wget din nou.. şi eşuează (din cauza SELinux). 


[rootâcentos65 -]t service httpd restart 

Stopping httpd: [FAILED] 

Starting httpd: [ OK ] 

[rootecentos65 -]4 getenforce 

Permissive 

[rootecentos65 -]t setenforce 1 

[rootecentos65 -]4 getenforce 

Enforcing 

[rootecentos65 -]4 wget http://localhost/test42.txt 
--2014-04-12 21:44:13-- http://localhost/test42.txt 


Resolving localhost... ::1, 127.0.0.1 
Connecting to localhost|::1|:80... connected. 
HTTP request sent, awaiting response... 403 Forbidden 


2014-04-12 21:44:13 ERROR 403: Forbidden. 


/var/log/audit/ încă nu este cel mai bun prieten, dar priviţi la 
/var/ log/messages. 


[rootecentos65 -]4 tail -2 /var/log/messages 

Apr 12 21:44:16 centos65 setroubleshoot: SELinux is preventing /usr/sbin/hi 
ttpd from getattr access on the file /var/wwm/html/test42.txt. For complete | 
SELinux messages. run sealert -1l b2a84386-54c1-4344-96fb-dcf969776696 

Apr 12 21:44:16 centos65 setroubleshoot: SELinux is preventing /usr/sbin/hi 
ttpd from getattr access on the file /var/wwm/html/test42.txt. For complete | 
SELinux messages. run sealert -1l b2a84386-54c1-4344-96fb-dcf969776696 
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Aşa că rulăm comanda pe care o sugerează .. 


[rootâcentos65 -]4 sealert -1l b2a84386-54c1-4344-96fb-dcf969776696 
SELinux is preventing /usr/sbin/httpd from getattr access on the file /va! 
r/umw /html/test42.txt. 


xxxx*x Plugin restorecon (92.2 confidence) suggests  xxxxxxx xxx 


If you want to fix the label. 

[var /wumw/html/test42.txt default label should be httpd_sys_content_t. 
Then you can run restorecon. 

Do 

4 /sbin/restorecon -v /var/wwm/html/test42.txt 


Am urmat sfatul prietenos şi am încercat din nou să downloadăm fişierul nostru: 


[rootecentos65 -]4 /sbin/restorecon -v /var/wum/html/test42.txt 
/sbin/restorecon reset /var/wmm/html/test42.txt context unconfined_u:objeci 
t_r:samba_share_t:s0->unconfined_u:object_r:httpd_sys_content_t:s0 
[rootecentos65 -]4 wget http://localhost/test42.txt 

--2014-04-12 21:54:03-- http://localhost/test42.txt 

Resolving localhost... ::1, 127.0.0.1 

Connecting to localhost|::1|:80... connected. 

HTTP request sent, awaiting response... 200 OK 


Funcționează! 
12.23. boolean 


Boolean-urile sînt întrerupători on/off. 


[rootecentos65 =]! getsebool -a | head 
abrt_anon_write --> off 
abrt_handle_event --> off 
allow_console_login --> on 
allow_cvs_read_shadow --> off 
allow_daemons_dump_core --> on 
allow_daemons_use_tcp_wrapper --> off 
allow_daemons_use_tty --> on 

al low_domain_fd_use --> on 
allow_execheap --> off 

allow_execmem --> on 


Puteți seta şi citi boolean-uri individuale. 


[rootecentos65 -]t setsebool httpd_read_user_content=1 
[rootecentos65 -]t getsebool httpd_read_user_content 
httpd_read_user_content --> on 

[rootecentos65 =] setsebool httpd_enable_homedirs=1 
[rootecentos65 -]t getsebool httpd_enable_homedirs 
httpd_enable_homedirs --> on 


Puteți seta aceste boolean-uri permanent. 
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[rootecentos65 -]t setsebool -P httpd_enable_homedirs=1 
[rootecentos65 -]4 setsebool -P httpd_read_user_content=1 


Comanda de mai sus regenerează în mod complet directorul /etc/selinux/targeted! 


[rootecentos65 -]t+ cat /etc/selinux/targeted/modules/active/booleans. local 
4 This file is auto-generated by Libsemanage 
4 Do not edit directly. 


httpd_enable_homedirs=1 
httpd_read_user_content=1 
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Partea V. Apendice 
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Apendice A. Licenţă (în limba română) 


Licența GNU Pentru Documentaţia Liberă 


Versiunea 1.3, 3 Noiembrie 2008 
Drepturi de autor 2000, 2001, 2002, 2007, 2008 Fundația Soft-ului Liber, Inc. 


Oricui îi este permisă copierea şi distribuirea de copii identice ale acestui 
document, dar fără modificarea lui. 


0. PREAMBUL 


Scopul acestei Licenţe este de a conferi „gratuitate” unui manual, colecţii de 
texte, sau altui document funcţional și folositor, în sensul libertății: dea 
asigura tuturor permisiunea de copiere şi redistribuire, cu sau fără modificări, 
în scopuri comerciale şi necomerciale. Ca scop secundar, această Licenţă rezervă 
autorului şi editorului dreptul de a fi creditați pentru munca lor, atât timp 
cât nu sunt responsabili pentru modificările efectuate de către alţii. 


Acestă Licenţă conferă un fel de „obligaţii”, ceea ce înseamnă că lucrările 
derivate dintr-un document trebuie să fie și ele libere, la rândul lor. Această 
Licenţă este inspirată de Licenţa Publică Generală GNU, care este o licență 
similară, concepută pentru a acoperi softul liber. 


Am creat această Licenţă pentru a fi de folos manualelor pentru softul liber, 
deoarece un soft liber necesită o documentație liberă: un program trebuie 
însoțit de manuale care oferă aceeaşi libertate de folosire ca şi softul. Acestă 
Licență nu este limitată, însă, la manualele pentru soft; ea poate fi folosită 
pentru textul oricărei lucrări, indiferent de subiect sau de modul de publicare. 
Această Licenţă este recomandată în principal pentru lucrări care servesc drept 
referință sau au fost scrise în scop de instruire. 


1. APLICABILITATE ŞI DEFINIȚII 


Această Licenţă se aplică oricărei lucrări sau manual, în orice mediu, care 
conține o notă, inclusă de către deținătorul dreptului de autor, care permite 
distribuția în termenii acestei Licenţe. Această notă conferă dreptul universal, 
fără indemnizaţie şi nelimitat ca durată de a folosi lucrarea în condițiile de 
faţă. Termenul Document, de mai jos, se referă la un astfel de manual sau 
lucrare. Orice membru din public este un beneficiar al acestei Licenţe şi va fi 
desemnat prin termenul „dumneavoastră”. Se consideră, în mod automat, că ați 
acceptat termenii acestei Licenţe, în urma copierii, modificării sau 
distribuirii unei lucrări într-un mod care necesită permisiunea autorului, în 
condițiile legii drepturilor de autor. 


O „Versiune Modificată” a Documentului este orice lucrare conținînd Documentul 
sau o porțiune de-a lui, copiată identic sau cu modificări şi/sau tradusă într-o 
altă Limbă. 


O „Secţiune Secundară” este o anexă cu titlu, sau o secțiune menționată în 
cuprins care are ca scop exclusiv descrierea relației editorilor sau a autorilor 
Documentului cu subiectul Documentului (sau cu aspecte conexe) şi care nu 
conține referiri directe la subiectul Documentului. (Astfel, dacă Documentul 
este în parte manual de matematică, o Secţiune Secundară nu poate conține deloc 
explicații matematice.) Poate exista doar o conexiune istorică cu subiectul și 
cu problemele înrudite cu subiectul, ori pot fi prezentate puncte de vedere 
legale, comerciale, filozofice, etice sau politice legate de acesta. 


„secţiunile Neschimbabile” sînt anumite Secţiuni Secundare ale căror titluri 
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sunt specificate ca fiind acele titluri de Secţiuni Neschimbabile din nota ce 
permite distribuția Documentului sub acoperirea acestei Licenţe. Dacă o secțiune 
nu este conformă cu definiția de mai sus a unei Secţiuni Secundare atunci ea nu 
poate fi desemnată ca fiind Neschimbabilă. Documentul poate să nu conțină 
Secţiuni Neschimbabile. Dacă Documentul nu specifică vreo Secţiune Neschimbabilă 
atunci se consideră că nu există nici una. 


„Textele De Copertă” sunt anumite pasaje scurte de text care sunt listate ca 
Texte Pentru Coperta I sau ca Texte Pentru Coperta IV în nota care specifică 
distribuirea Documentului sub acoperirea acestei Licenţe. Un Text Pentru Coperta 
I poate avea cel mult 5 cuvinte, iar un Text Pentru Coperta IV poate avea cel 
mult 25 de cuvinte. 


O copie „Transparentă” a Documentului este o copie în format electronic, 
reprezentată într-un format ale cărui specificații sunt disponibile publicului, 
fiind uşor de modificat cu ajutorul unui editor de text generic sau (pentru 
imagini compuse din pixeli) cu un editor grafic generic ori (pentru desene) cu 
un editor larg răspîndit de grafică vectorială, şi care poate fi folosit ca 
intrare în procesoarele de text sau de transformare automată în diverse formate 
adecvate ca intrare pentru procesoarele de text. 0 copie făcută într-un format 
de fişier Transparent dar care, prin prezența sau absența anumitor elemente 
specifice formatului, descurajează sau împiedică modificările ulterioare, nu 
reprezintă o copie Transparentă. Un format de imagine nu este Transparent dacă 
este folosit pentru a reprezenta o cantitate substanțială de text. 0 copie care 
nu este „Transparentă” se numește „Opacă”. 


Exemple de formate compatibile cu copiile Transparente: textul ASCII fără 
marcaje, formatul de intrare Texinfo, formatele de intrare LaTex, SGML şi XML 
folosind un DTD public, HTML simplu şi standard, fişierele PostScript şi PDF 
modificabile. Exemple de formate Transparente pentru imagine: PNG, XCF şi JPG. 
Formatele Opace includ formate de text ce pot fi citite şi editate doar de 
procesoare de text proprietare, SGML şi XML pentru care DTD-ul şi/sau uneltele 
de procesare nu sunt disponibile, HTML generat automat, documentele PostScript 
şi PDF produse de diverse procesoare de text doar în scopul printării/afişării. 


„Pagina de Titlu” înseamnă, pentru o carte tipărită, pagina cu titlul şi 
paginile următoare, necesare pentru a prezenta, lizibil, materialul care trebuie 
tipărit, conform acestei Licenţe, pe Pagina de Titlu. Pentru lucrări care nu au 
o pagină cu titlu propriu-zisă, „Pagina de Titlu” este textul aflat lîngă 
principala apariție a titlului lucrării, precedând începutul corpului 
Documentului. 


„Editorul” reprezintă orice persoană sau entitate care distribuie copii ale 
documentului pentru public. 


O secțiune „Numită XYZ” este o subunitate a Documentului, al cărei titlu este, 
fie XYZ, fie conține XYZ în paranteze, după textul care traduce XYZ în altă 
limbă. (Aici XYZ înlocuieşte nume specifice ce vor fi menţionate mai jos, ca de 
exemplu „Mulțumiri”, „Dedicaţii”, „Giruri” sau „Istorie”.) Pentru a „Păstra 
Titlul” unei astfel de secțiuni atunci cînd modificaţi Documentul înseamnă că va 
rămîne o secțiune „Numită XYZ”, conform acestei definiţii. 


Documentul poate include Limitări de Responsabilitate ataşate notificării care 
afirmă că această Licenţă se aplică Documentului. Acestea se consideră a fi 
incluse prin referință în această Licenţă, dar numai cu privire la limitările de 
responsabilitate: orice alte implicaţii pe care aceste Limitări de 
Responsabilitate le-ar putea avea sunt nule şi nu au nici un efect asupra 
înțelesului acestei Licenţe. 
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2. COPII IDENTICE 


Puteți copia şi distribui Documentul pe orice mediu, fie comercial sau 
necomercial, atît timp cît această Licență, notificările de drepturi de autor şi 
notificarea de licenţă care spune că această Licenţă se aplică acestui Document, 
sunt reproduse în toate copiile, şi atîta timp cît nu adăugaţi nici un fel de 
altă condiţie în afară de cele prezente în această Licență. Nu aveţi dreptul să 
luați măsuri tehnice de a obstrucţționa sau controla citirea sau recopierea 
copiilor pe care le faceți sau le distribuiți. Aveţi totuşi dreptul să acceptaţi 
compensații în schimbul copiilor. Dacă distribuiți un număr suficient de mare de 
copii, atunci trebuie să respectați şi condițiile din secțiunea 3. 


Aveţi, de asemenea, dreptul să împrumutaţi copii în aceleași condiţii ca cele de 
mai sus, și aveți dreptul să afișați copii. 


3. COPIEREA ÎN CANTITĂȚI MARI 


Dacă publicați copii tipărite (sau copii în medii care folosesc de obicei 
coperţi tipărite) ale Documentului, în număr mai mare de 100 și dacă notificarea 
de licență a Documentului cere Texte de Copertă, trebuie să includeți copiile pe 
coperţi care să conțină, clar și lizibil, toate aceste Texte de Copertă: Textele 
Pentru Coperta I pe coperta I și Texte Pentru Coperta IV pe coperta IV. Ambele 
coperţi trebuie de asemenea să vă identifice în mod clar și lizibil ca editor al 
respectivelor copii. Coperta I trebuie să prezinte titlul în întregime, cu toate 
cuvintele din titlu la fel de vizibile și proeminente. Puteţi adăuga alte 
materiale pe copertă în plus. Copierea cu modificările limitate la coperţi, 
atâta timp cît satisfac aceste condiţii, pot fi tratate în toate celelalte 
aspecte ca și copii identice. 


Dacă textele necesare pentru oricare dintre coperţi sunt prea voluminoase pentru 
a încăpea în mod lizibil, trebuie să puneţi primele rînduri (atîtea cît încap în 
mod rezonabil) pe coperta efectivă și să continuaţi cu restul pe pagini 
adiacente. 


Dacă publicați sau distribuiți copii Opace ale Documentului în număr mai mare de 
100, trebuie ori să includeți cîte o copie Transparentă în format electronic 
împreună cu fiecare copie Opacă, ori să specificaţi în sau împreună cu fiecare 
copie Opacă o locaţie din reţeaua electronică la care publicul general care 
folosește rețeaua să aibă acces pentru a descărca, folosind un protocol standard 
public, copii complete, Transparente ale documentului, fără adăugarea oricărui 
material adițional. Dacă folosiți a doua opțiune trebuie să faceți demersuri 
rezonabil de prudente ca atunci cînd începeţi distribuirea copiilor Opace să vă 
asiguraţi că această copie Transparentă va rămâne accesibilă, în acest fel, la 
locaţia respectivă timp de cel puţin un an după distribuţia ultimei copii Opace 
(în mod direct sau prin agenți ori distribuitori) a respectivei ediții pentru 
public. 


Se cere, dar nu în mod necesar, să contactaţi autorii Documentului cu o perioadă 
bună înainte de a distribui orice cantitate mare de copii, pentru a le da ocazia 
să vă pună la dispoziție o versiune actualizată a Documentului. 


4. MODIFICĂRI 


Puteți copia și distribui o Versiune Modificată a Documentului în condițiile 
secţiunilor 2 şi 3 de mai sus, cu condiţia de a acoperi Versiunea Modificată sub 
exact această Licenţă, cu Versiunea Modificată ținînd locul Documentului, astfel 
licenţiind distribuirea și modificările Versiunii Modificate oricui intră în 
posesia unei copii ale acesteia. în plus, trebuie să faceţi următoarele lucruri 
în Versiunea Modificată: 


* A, Folosiţi în Pagina de Titlu (și pe coperţi, dacă există) un titlu diferit 
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de cel al Documentului, și de versiunile sale anterioare (care trebuie, dacă 
există, să fie listate în secţiunea de Istorie a Documentului). Puteţi folosi 
același titlu ca o versiune anterioară dacă editorul original al acelei copii vă 
dă permisiunea. 

* B, Listați pe Pagina de Titlu, ca autori, una sau mai multe dintre persoanele 
sau entitățile responsabile în calitate de autori pentru modificările Versiunii 
Modificate, împreună cu cel puţin cinci dintre autorii principali ai 
Documentului (toți autorii principali, dacă are mai puțin de cinci), în afară de 
cazul cînd aceștia vă eliberează de această obligaţie. 

* C. Includeţi pe Pagina de Titlu numele editorului Versiunii Modificate în 
calitate de editor. 

* D, Păstrați toate notificările de drepturi de autor ale Documentului. 

* E. Adăugaţi o notificare de drepturi de autori relevantă pentru modificările 
dumneavoastră adiacent celorlalte notificări de drepturi de autor. 

* F. Includeţi, imediat după notificările de drepturi de autor, o notificare de 
licenţă dînd permisiune publică de a folosi Versiunea Modificată în condiţiile 
acestei Licenţe, sub forma prezentată în Apendicele de mai jos. 

* G, Păstrați în acea notificare de licenţă lista integrală a Secţiunilor 
Neschimbabile și Textele de Copertă necesare, date în notificarea de licenţă a 
Documentului. 

* H. Includeţi o copie nealterată a acestei Licenţe. 

* TI, Păstrați secţiunea Numită „Istorie”, păstraţi-i Titlul și adăugaţi-i un 
element care să indice măcar titlul, anul, noii autori și editorul Versiunii 
Modificate așa cum este dat pe Pagina de Titlu. Dacă nu există o secțiune numită 
„Istorie” în Document, creaţi una în care indicaţi titlul, anul, autorii și 
editorul Documentului așa cum este dat pe Pagina de Titlu al acestuia și apoi 
adăugaţi un element care să descrie Versiunea Modificată așa cum a fost cerut în 
fraza precedentă. 

* JI. Păstraţți locația de reţea, dacă există, dată în Document pentru acces 
public la o copie Transparentă a Documentului, cît și locaţiile de reţea date în 
Document pentru versiunile mai vechi pe care s-a bazat acesta. Acestea pot fi 
incluse în secţiunea Numită „Istorie”. Puteți omite locaţia de reţea a unei 
lucrări care a fost publicată cu cel puțin patru ani înainte de Documentul în 
sine, sau dacă editorul original al versiunii la care se referă vă dă 
permisiunea. 

* K. Pentru orice secţiune Numită „Mulţumiri” sau „Dedicaţii” păstraţi Titlul 
secțiunii și păstraţi în secțiunile respective toată substanța și tonul 
mulțumirilor și/sau dedicaţiilor fiecărui contribuitor. 

* L, Păstraţi toate Secţiunile Neschimbabile ale Documentului, nealterate ca 
text și ca titluri. Numerotarea secțiunilor sau echivalentul numerotării nu sunt 
considerate ca făcînd parte din titlurile secțiunilor. 

* M. Ştergeţi orice secțiune Numită „Giruri”. 0 astfel de secțiune nu poate fi 
inclusă în Versiunea Modificată. 

* N. Nu modificaţi titlul nici unei secțiuni existente pentru a fi numită 
„Giruri” sau pentru a intra în conflict cu vreo Secţiune Neschimbabilă. 

* 0, Păstrați toate Limitările de Responsabilitate. 


Dacă Versiunea Modificată include secțiuni noi incluse în titlu sau anexe care 
se califică drept Secţiuni Secundare și nu conțin material copiat din Document, 
aveți dreptul la alegerea dumneavoastră să numiți unele sau toate acestea ca 
fiind Neschimbabile. Pentru a face aceasta, adăugaţi-le titlurile la lista de 
Secţiuni Neschimbabile în notificarea de licență a Versiunii Modificate. Aceste 
titluri trebuie să fie distincte faţă de toate celelalte titluri de secțiune. 
Puteți adăuga o secţiune Numită „Giruri” doar dacă aceasta conține numai 
girurile a diverse entităţi asupra Versiunii Modificate — de exemplu recenzii 
sau faptul că textul a fost aprobat de o organizație ca fiind o definiţie 
autoritară a unui standard. 


Puteți adăuga un pasaj de cel mult cinci cuvinte ca Text Pentru Coperta 1 și un 


pasaj de cel mult 25 de cuvinte ca Text Pentru Coperta IV la sfârșitul Textelor 
De Copertă în Versiunea Modificată. Numai un singur pasaj poate fi adăugat la 
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Textul Pentru Coperta I și unul la Textul Pentru Coperta IV de către (sau prin 
aranjament cu) orice entitate. Dacă Documentul conţine deja texte de copertă 
pentru coperta respectivă, adăugat în prealabil de dumneavoastră sau prin 
aranjament cu aceeași entitate în numele căreia acţionaţi, atunci nu puteți 
adăuga un altul, însă puteţi să-l înlocuiţi pe cel vechi numai cu permisiunea 
explicită a editorului anterior care l-a adăugat pe cel vechi. 


Autorul (autorii) și editorul (editorii) Documentului nu vă dau prin această 
Licență permisiunea de a le folosi numele pentru publicitate sau pentru a 
pretinde sau implica vreo girare a oricărei Versiuni Modificate. 


5. COMBINAREA DOCUMENTELOR 


Puteți combina Documentul cu alte documente acoperite de această Licenţă sub 
termenii definiţi în secțiunea 4 de mai sus pentru versiuni modificate, cu 
condiția să includeți în versiunea combinată toate Secţțiunile Neschimbabile ale 
tuturor documentelor originale, nemodificate, şi să le listați pe toate ca 
Secţiuni Neschimbabile ale versiunii combinate în notificarea de licență, cât și 
să păstraţi toate Limitările de Responsabilitate. 


Versiunea modificată nu trebuie să conțină decât o singură copie a acestei 
Licenţe, iar duplicatele identice ale Secțiunilor Neschimbabile pot fi înlocuite 
cu o singură copie. Dacă există Secţiuni Neschimbabile cu nume identice și 
conținut diferit, schimbaţi-le numele adăugând la sfârșitul titlului, în 
paranteză, ori numele autorului sau al editorului original al acelei secțiuni 
dacă acesta este cunoscut, ori un număr unic. Faceţi aceleași modificări 
respective titlurilor secțiunilor în lista de Secţiuni Neschimbabile din 
notificarea de licență a versiunii combinate. 


în versiunea combinată trebuie să combinaţi și toate secțiunile Numite „Istorie” 
din diversele documente originale, creînd o secțiune unică Numită „Istorie”; la 
fel trebuie să combinați și toate secțiunile Numite „Mulțumiri” cît și cele 
numite „Dedicaţii”. Trebuie să ștergeți toate secțiunile numite „Giruri”. 


6. COLECŢII DE DOCUMENTE 


Puteți crea o colecţie formată din Document și alte documente acoperite de 
această Licenţă și să înlocuiţi copiile individuale ale acestei Licenţe din 
diversele documente cu o singură copie care să fie inclusă în colecție cu 
condiția să urmați regulile acestei Licenţe pentru copii identice pentru fiecare 
document în toate celelalte privinţe. 


Puteți să extrageți un document dintr-o astfel de colecţie și să-l distribuiți 
individual sub această Licenţă cu condiția de a include o copie a acestei 
Licenţe în documentul extras și să urmaţi condiţiile acestei Licenţe în toate 
celelalte privinţe în legătură cu copiile identice ale acelui document. 


7. AGREGAREA CU LUCRĂRI INDEPENDENTE 


O compilaţie a Documentului sau a unui derivat al său cu orice document sau 
lucrare separată independentă, în sau pe un volum de stocare sau distribuire se 
numește „agregat” dacă drepturile de autor rezultate în urma compilării nu sunt 
folosite pentru a limita drepturile legale ale utilizatorilor compilației mai 
mult decît permit lucrările individuale. Cînd Documentul este inclus într-un 
agregat, această Licenţă nu se aplică celorlalte lucrări din agregat care nu 
sunt ele însele rezultate derivate ale Documentului. 


Dacă cerinţele legate de Textele de Copertă din secțiunea 3 se aplică acestor 
copii ale Documentului, atunci dacă Documentul este mai puţin de jumătate din 
întregul agregat atunci Textele de Copertă ale Documentului pot fi puse pe 

coperţi care să separe Documentul în cadrul agregatului, sau pe un echivalent 
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electronic al acestora, dacă Documentul se prezintă în format electronic. Altfel 
ele trebuie să apară pe coperţile tipărite care îmbracă întreg agregatul. 


8. TRADUCERE 


Traducerea este considerată o formă de modificare, drept care puteți distribui 
traduceri ale Documentului sub cerințele secțiunii 4. Înlocuirea Secţiunilor 
Neschimbabile cu traduceri ale acestora necesită permisiune specială din partea 
celor care deţin drepturile de autor, însă puteți include traduceri ale unora 
dintre sau tuturor Secţiunilor Neschimbabile împreună cu variantele originale 
ale acestora. Puteţi include o traducere a acestei Licenţe cît și toate 
notificările de licență din Document, cât şi Limitările de Responsabilitate 
atîta timp cât includeți și versiunea originală în engleză a acestei Licenţe, 
plus versiunile originale ale respectivelor notificări de licenţă și limitări de 
responsabilitate. În cazul apariţiei oricăror discrepanțe între versiunea 
tradusă și versiunea originală a acestei Licenţe, a vreunei notificări de 
licenţă sau a vreunei limitări de responsabilitate, versiunea originală are 
prioritate. 


Dacă vreo secțiune din Document este Numită „Mulţumiri”, „Dedicaţii” sau 
„Istorie” cerința (din secţiunea 4) de a-i păstra Titlul (secțiunea 1) va 
necesita în mod normal schimbarea titlului în sine. 


9. REZILIERE 


Nu puteţi copia, modifica, sublicenţia sau distribui Documentul decît în 
condițiile specificate explicit în această Licenţă. Orice copiere, modificare 
sau redistribuire a Documentului în vreo altă condiţie este nulă și vă va anula 
în mod automat drepturile conferite de această Licenţă. 


Cu toate acestea, dacă încetaţi orice încălcare a acestei Licenţe, licența din 
partea titularului dreptului de autor este reinstaurată (a) cu titlu provizoriu, 
cu excepția cazului cînd titularul dreptului de autor încetează în mod explicit 
și în cele din urmă licența, și (b) permanent, în cazul în care titularul 
dreptului de autor nu vă anunţă încălcarea, prin mijloace reonabile, în termen 
de 60 de zile de la încetare. 


în plus, licența de la titularul particular al dreptului de autor este repusă 
permanent în cazul în care titularul dreptului de autor vă anunţă de încălcare 
prin mijloace rezonabile, şi este prima dată cînd aţi primit o notificare de 
încălcare a acestei Licenţe (pentru orice lucrare), din partea titularului 
dreptului de autor, și ați încetat încălcarea cu 30 de zile înainte de primirea 
notificării. 


încetarea drepturilor dumneavoastră, în conformitate cu această secțiune, nu 
încetează licențele părților care au primit copii sau drepturi de la 
dumneavoastră sub această Licență. Dacă drepturile dumneavoastră au fost 
terminate și nu s-au repus permanent, primirea unei copii ale aceluiași material 
nu vă dă nici un drept să-l folosiţi. 


10. VERSIUNI VIITOARE ALE ACESTEI LICENȚE 


Fundația Free Software Foundation poate publica, din când în când, versiuni noi, 
revizuite ale acestei Licenţe GNU pentru Documentaţia liberă. Aceste noi 
versiuni vor păstra spiritul acestei versiuni dar pot diferi în privința 
detaliilor, cu scopul de a se adresa unor noi probleme reale sau potenţiale. A 
se vedea http://wmw.gnu.org/copyleft/. 


Fiecărei versiuni ale acestei Licenţe îi este asociat un număr de versiune 


distinct. Dacă Documentul specifică un anumit număr de versiune „sau orice 
versiune ulterioară” al acestei Licenţe, aveţi de ales între a vă conforma 
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termenilor și condiţiilor ori ale versiunii specificate explicit sau ale 
oricărei variante ulterioare publicate (nu ca variantă preliminară) de către 
Free Software Foundation. Dacă Documentul nu specifică un număr de versiune al 
acestei Licenţe atunci puteţi alege orice versiune publicată (nu ca variantă 
preliminară) de către Free Software Foundation. 


11. RELICENȚIEREA 


„Site-ul de Colaborare Masivă a Multiautorilor” (sau „MMC Site”) înseamnă orice 
server wwm care publică lucrări posibil de a fi supuse drepturilor de autor şi, 
de asemenea, oferă facilități proeminente pentru oricine editează aceste 
lucrări. Un server pubic wiki este un exemplu în care oricine poate edita 
lucrări scrise. Un „Site de Colaborare Masivă a Multiautorilor” (sau „MMC Site”) 
în conținutul său înseamnă o mulțime de lucrări susceptibile de a fi supuse 
licențelor supsue site-ului MMC. 


„CC-BZ-SA” înseamnă licență a Creative Commons Attribution-Share Alike 3.0 
publicată de Corporaţia Creative Commons, o corporație nonprofit cu sediul 
principal în San Francisco, California, şi deasemenea viitoarele variante de 
„obligaţii” a acestei licenţe publicată de aceeaşi organizaţie. 


„Încorporarea” înseamnă publicarea ori republicarea unui Document, în întregime 
sau în parte, ca parte a unui alt document. 


Un MMC este „eligibil pentru reautorizare” dacă este licențiat sub această 
Licenţă, și în cazul în care toate lucrările care au fost publicate mai întâi în 
această Licenţă în altă parte decât acest MMC, și, ulterior, au fost încorporate 
în totalitate sau în parte în MMC, (1) nu a avut texte de copertă sau secțiuni 
invariante, și (2) au fost astfel incluse până la 1 noiembrie 2008. 


Operatorul unui site MMC poate republica un MMC conținut în site sub CC-BY-SA în 


același loc, în orice moment înainte de 1 august 2009, cu condiția ca MMC să fie 
eligibil pentru reautorizare. 
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Apendice B. Licenţă (în limba engleză) 

GNU Free Documentation License 

Version 1.3, 3 November 2008 

Copyright 0 2000, 2001, 2002, 2007, 2008 Free Software Foundation, Inc. 


Everyone is permitted to copy and distribute verbatim copies of this license 
document, but changing it is not allowed. 


0. PREAMBLE 


The purpose of this License is to make a manual, textbook, or other functional 
and useful document "free" in the sense of freedom: to assure everyone the 
effective freedom to copy and redistribute it, with or without modifying it, 
either commercially or noncommercially. Secondarily, this License preserves for 
the author and publisher a way to get credit for their work, while not being 
considered responsible for modifications made by others. 


This License is a kind of "'copyleft", which means that derivative works of the 
document must themselves be free in the same sense. It complements the GNU 
General Public License, which is a copyleft license designed for free software. 


We have designed this License in order to use it for manuals for free software, 
because free software needs free documentation: a free program should come with 
manuals providing the same freedoms that the software does. But this License is 
not limited to software manuals; it can be used for any textual work, regardless 
of subject matter or whether it is published as a printed book. We recommend 
this License principally for works whose purpose is instruction or reference. 


1. APPLICABILITY AND DEFINITIONS 


This License applies to any manual or other work, in any medium, that contains a 
notice placed by the copyright holder saying it can be distributed under the 
terms of this License. Such a notice grants a world-wide, royalty-free license, 
unlimited in duration, to use that work under the conditions stated herein. The 
"Document", below, refers to any such manual or work. Any member of the public 
is a licensee, and is addressed as "you". You accept the license if you copy, 
modify or distribute the work in a way requiring permission under copyright law. 


A "Modified Version" of the Document means any work containing the Document ora 
portion of it, either copied verbatim, or with modifications and/or translated 
into another language. 


A "Secondary Section" is a named appendix or a front-matter section of the 
Document that deals exclusively with the relationship of the publishers or 
authors of the Document to the Document's overall subject (or to related 
matters) and contains nothing that could fall directly within that overall 
subject. (Thus, if the Document is in part a textbook of mathematics, a 
Secondary Section may not explain any mathematics.) The relationship could be a 
matter of historical connection with the subject or with related matters, or of 
legal, commercial, philosophical, ethical or political position regarding them. 


The "Invariant Sections" are certain Secondary Sections whose titlesare 
designated, as being those of Invariant Sections, in the notice that says that 
the Document is released under this License. If a section does not fit the above 
definition of Secondary then it is not allowed to be designated as Invariant. 
The Document may contain zero Invariant Sections. If the Document does not 
identify any Invariant Sections then there are none. 
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The "Cover Texts" are certain short passages of text that are listed, as Front- 
Cover Texts or Back-Cover Texts, in the notice that says that the Document is 
released under this License. A Front-Cover Text may be at most 5 words, anda 
Back-Cover Text may be at most 25 words. 


A "Transparent" copy of the Document means a machine-readable copy, represented 
in a format whose specification is available to the general public, that is 
suitable for revising the document straightforwardly with generic text editors 
or (for images composed of pixels) generic paint programs or (for drawings) some 
widely available drawing editor, and that is suitable for input to text 
formatters or for automatic translation to a variety of formats suitable for 
input to text formatters. A copy made in an otherwise Transparent file format 
whose markup, or absence of markup, has been arranged to thwart or discourage 
subsequent modification by readers is not Transparent. An image format is not 
Transparent if used for any substantial amount of text. A copy that is not 
"Transparent" is called "Opaque",. 


Examples of suitable formats for Transparent copies include plain ASCII without 
markup, Texinfo input format, LaTex input format, SGML or XML using a publicly 
available DTD, and standard-conforming simple HTML, PostScript or PDF designed 
for human modification. Examples of transparent image formats include PNG, XCF 
and JPG. Opaque formats include proprietary formats that can be read and edited 
only by proprietary word processors, SGML or XML for which the DTD and/or 
processing tools are not generally available, and the machine-generated HTML, 
PostScript or PDF produced by some word processors for output purposes only. 


The "Title Page" means, for a printed book, the title page itself, plus such 
following pages as are needed to hold, legibly, the material this License 
requires to appear in the title page. For works in formats which do not have any 
title page as such, "Title Page" means the text near the most prominent 
appearance of the work's title, preceding the beginning of the body of the text. 


The "publisher" means any person or entity that distributes copies of 
the Document to the public. 


A section "Entitled XYZ" means a named subunit of the Document whose title 
either is precisely XYZ or contains XYZ in parentheses following text that 
translates XYZ in another language. (Here XYZ stands for a specific section name 
mentioned below, such as "Acknowledgements", "Dedications", "Endorsements", or 
"History".) To "Preserve the Title" of such a section when you modify the 
Document means that it remains a section "Entitled XYZ" according to this 
definition. 


The Document may include Warranty Disclaimers next to the notice which states 
that this License applies to the Document. These warranty Disclaimers are 
considered to be included by reference in this License, but only as regards 
disc laiming warranties: any other implication that these Warranty Disclaimers 
may have is void and has no effect on the meaning of this License. 


2. VERBATIM COPYING 


You may copy and distribute the Document in any medium, either commercially or 
noncommercially, provided that this License, the copyright notices, and the 
license notice saying this License applies to the Document are reproduced in all 
copies, and that you add no other conditions whatsoever to those of this 
License. You may not use technical measures to obstruct or control the reading 
or further copying of the copies you make or distribute. However, you may accept 
compensation in exchange for copies. If you distribute a large enough number of 
copies you must also follow the conditions in section 3. 

You may also lend copies, under the same conditions stated above, and you may 
publicly display copies. 
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3. COPYING IN QUANTITY 


If you publish printed copies (or copies in media that commonly have printed 
covers) of the Document, numbering more than 100, and the Document's license 
notice requires Cover Texts, you must enclose the copies in covers that carry, 
clearly and legibly, all these Cover Texts: Front-Cover Texts on the front 
cover, and Back-Cover Texts on the back cover. Both covers must also clearly and 
legibly identify you as the publisher of these copies. The front cover must 
present the full title with all words of the title equally prominent and 
visible. You may add other material on the covers in addition. Copying with 
changes limited to the covers, as long as they preserve the title of the 
Document and satisfy these conditions, can be treated as verbatim copying în 
other respects. 


If the required texts for either cover are too voluminous to fit legibly, you 
should put the first ones listed (as many as fit reasonably) on the actual 
cover, and continue the rest onto adjacent pages. 


If you publish or distribute Opaque copies of the Document numbering more than 
100, you must either include a machine-readable Transparent copy along with each 
Opaque copy, or state in or with each Opaque copy a computer-network location 
from which the general network-using public has access to download using public- 
standard network protocols a complete Transparent copy of the Document, free of 
added material. If you use the latter option, you must take reasonably prudent 
steps, when you begin distribution of Opaque copies in quantity, to ensure that 
this Transparent copy will remain thus accessible at the stated location until 
at least one year after the last time you distribute an Opaque copy (directly or 
through your agents or retailers) of that edition to the public. 


It is requested, but not required, that you contact the authors of the Document 
well before redistributing any large number of copies, to give thema chance to 
provide you with an updated version of the Document. 


4. MODIFICATIONS 


You may copy and distribute a Modified Version of the Document under the 
conditions of sections 2 and 3 above, provided that you release the Modified 
Version under precisely this License, with the Modified Version filling the role 
of the Document, thus Licensing distribution and modification of the Modified 
Version to whoever possesses a copy of it. In addition, you must do these things 
in the Modified Version: 


* A, Use in the Title Page (and on the covers, if any) a title distinct from 
that of the Document, and from those of previous versions (which should, if 
there were any, be listed in the History section of the Document). You may use 
the same title as a previous version if the original publisher of that version 
gives permission. 

* B, List on the Title Page, as authors, one or more persons or entities 
responsible for authorship of the modifications in the Modified Version, 
together with at least five of the principal authors of the Document (all of its 
principal authors, if it has fewer than five), unless they release you from this 
requirement. 

* C, State on the Title page the name of the publisher of the Modified Version, 
as the publisher. 

* D. Preserve all the copyright notices of the Document. 

* E. Add an appropriate copyright notice for your modifications adjacent to the 
other copyright notices. 

* F. Include, immediately after the copyright notices, a license notice giving 
the public permission to use the Modified Version under the terms of this 
License, in the form shown in the Addendum below. 
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* G, Preserve in that license notice the full lists of Invariant Sections and 
required Cover Texts given in the Document's license notice. 

* H. Include an unaltered copy of this License. 

* 1. Preserve the section Entitled "History", Preserve its Title, and add to it 
an item stating at least the title, year, new authors, and publisher of the 
Modified Version as given on the Title Page. If there is no section Entitled 
"History" in the Document, create one stating the title, year, authors, and 
publisher of the Document as given on its Title Page, then add an item 
describing the Modified Version as stated in the previous sentence. 

* J. Preserve the network location, if any, given in the Document for public 
access to a Transparent copy of the Document, and likewise the network locations 
given in the Document for previous versions it was based on. These may be placed 
in the "History" section. You may omit a network location for a work that was 
published at least four years before the Document itself, or if the original 
publisher of the version it refers to gives permission. 

* K. For any section Entitled "Acknowledgements" or "Dedications", Preserve the 
Title of the section, and preserve in the section all the substance and tone of 
each of the contributor acknowledgements and/or dedications given therein. 

* L. Preserve all the Invariant Sections of the Document, unaltered in their 
text and in their titles. Section numbers or the equivalent are not considered 
part of the section titles. 

* M,. Delete any section Entitled "Endorsements". Such a section may not be 
included in the Modified Version. 

* N, Do not retitle any existing section to be Entitled "Endorsements" or to 
conflict in title with any Invariant Section. 

* 0. Preserve any Warranty Disclaimers. 


If the Modified Version includes new front-matter sections or appendices that 
qualify as Secondary Sections and contain no material copied from the Document, 
you may at your option designate some or all of these sections as invariant. To 
do this, add their titles to the list of Invariant Sections in the Modified 
Version's license notice. These titles must be distinct from any other section 
tit les. 


You may add a section Entitled "Endorsements", provided it contains nothing but 
endorsements of your Modified Version by various parties-for example, statements 
of peer review or that the text has been approved by an organization as the 
authoritative definition of a standard. 


You may add a passage of up to five words as a Front-Cover Text, and a passage 
of up to 25 words as a Back-Cover Text, to the end of the list of Cover Texts in 
the Modified Version. Only one passage of Front-Cover Text and one of Back-Cover 
Text may be added by (or through arrangements made by) any one entity. If the 
Document already includes a cover text for the same cover, previously added by 
you or by arrangement made by the same entity you are acting on behalf of,you 
may not add another; but you may replace the old one, on explicit permission 
from the previous publisher that added the old one. 


The author(s) and publisher(s) of the Document do not by this License give 
permission to use their names for publicity for or to assert or imply 
endorsement of any Modified Version. 


5. COMBINING DOCUMENTS 


You may combine the Document with other documents released under this License, 
under the terms defined in section 4 above for modified versions, provided that 
you include in the combination all of the Invariant Sections of all of the 
original documents, unmodified, and list them all as Invariant Sections of your 
combined work in its license notice, and that you preserve all their warranty 
Disclaimers. 
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The combined work need only contain one copy of this License, and multiple 
identical Invariant Sections may be replaced with a single copy. If there are 
multiple Invariant Sections with the same name but different contents, make the 
title of each such section unique by adding at the end of it, in parentheses, 
the name of the original author or publisher of that section if known, or else a 
unique number. Make the same adjustment to the section titles in the list of 
Invariant Sections in the license notice of the combined work. 


In the combination, you must combine any sections Entitled "History" in the 

various original documents, forming one section Entitled "History"; Likewise 
combine any sections Entitled "Acknowledgements", and any sections Entitled 

"Dedications". You must delete all sections Entitled "Endorsements". 


6. COLLECTIONS OF DOCUMENTS 


You may make a collection consisting of the Document and other documents 
released under this License, and replace the individual copies of this License 
in the various documents with a single copy that is included in the collection, 
provided that you follow the rules of this License for verbatim copying of each 
of the documents in all other respects. 


You may extract a single document from such a collection, and distribute it 
individually under this License, provided you insert a copy of this License into 
the extracted document, and follow this License in all other respects regarding 
verbatim copying of that document. 


7. AGGREGATION WITH INDEPENDENT WORKS 


A compilation of the Document or its derivatives with other separate and 
independent documents or works, in or on a volume of a storage or distribution 
medium, is called an "aggregate" if the copyright resulting from the compilation 
is not used to limit the legal rights of the compilation's users beyond what the 
individual works permit. When the Document is included in an aggregate, this 
License does not apply to the other works in the aggregate which are not 
themselves derivative works of the Document. 


If the Cover Text requirement of section 3 is applicable to these copies of the 
Document, then if the Document is less than one half of the entire aggregate, 
the Document's Cover Texts may be placed on covers that bracket the Document 
within the aggregate, or the electronic equivalent of covers if the Document is 
in electronic form. Otherwise they must appear on printed covers that bracket 
the whole aggregate. 


8. TRANSLATION 


Translation is considered a kind of modification, so you may distribute 
translations of the Document under the terms of section 4. Replacing Invariant 
Sections with translations requires special permission from their copyright 
holders, but you may include translations of some or all Invariant Sections in 
addition to the original versions of these Invariant Sections. You may include a 
translation of this License, and all the License notices in the Document, and 
any Warranty Disclaimers, provided that you also include the original English 
version of this License and the original versions of those notices and 
disclaimers. In case of a disagreement between the translation and the original 
version of this License or a notice or disclaimer, the original version will 
prevail. 


If a section in the Document is Entitled "Acknowledgements", "Dedications", or 


"History", the requirement (section 4) to Preserve its Title (section 1) will 
typically require changing the actual title. 
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9. TERMINATION 


You may not copy, modify, sublicense, or distribute the Document except as 
expressly provided under this License. Any attempt otherwise to copy, modify, 
sublicense, or distribute it is void, and will automatically terminate your 
rights under this License. 


However, if you cease all violation of this License, then your License froma 
particular copyright holder is reinstated (a) provisionally, 

unless and until the copyright holder explicitly and finally terminates your 
license, and (b) permanently, if the copyright holder fails to notify you of the 
violation by some reasonable means prior to 60 days after the cessation. 


Moreover, your license from a particular copyright holder is reinstated 
permanent ly if the copyright holder notifies you of the violation by some 
reasonable means, this is the first time you have received notice of violation 
of this License (for any work) from that copyright holder, and you cure the 
violation prior to 30 days after your receipt of the notice. 


Termination of your rights under this section does not terminate the licenses of 
parties who have received copies or rights from you under this License. If your 
rights have been terminated and not permanently reinstated, receipt of a copy of 
some or all of the same material does not give you any rights to use it. 


10. FUTURE REVISIONS OF THIS LICENSE 


The Free Software Foundation may publish new, revised versions of the GNU Free 
Documentation License from time to time. Such new versions will be similar in 
spirit to the present version, but may differ in detail to address new problems 
or concerns. See http://wmm.gnu.org/copyleft/. 


Each version of the License is given a distinguishing version number. If the 
Document specifies that a particular numbered version of this License "or any 
later version" applies to it, you have the option of following the terms and 
conditions either of that specified version or of any later version that has 
been published (not as a draft) by the Free Software Foundation. If the Document 
does not specify a version number of this License, you may choose any version 
ever published (not as a draft) by the Free Software Foundation. If the Document 
specifies that a proxy can decide which future versions of this License can be 
used, that proxy's public statement of acceptance of a version permanent ly 
authorizes you to choose that version for the Document. 


11. RELICENSING 


"Massive Multiauthor Collaboration Site" (or "MMC Site") means any World Wide 
Web server that publishes copyrightable works and also provides prominent 
facilities for anybody to edit those works. A public wiki that anybody can edit 
is an example of such a server. A "Massive Multiauthor Collaboration" (or "MMC") 
contained in the site means any set of copyrightable works thus published on the 
MMC site. 


"CC-BY-SA" means the Creative Commons Attribution-Share Alike 3.0 license 
published by Creative Commons Corporation, a not-for-profit corporation with a 
principal place of business in San Francisco, California, as well as future 
copyleft versions of that license published by that same organization. 


"Incorporate" means to publish or republish a Document, in whole or in 
part, as part of another Document. 


An MMC is "eligible for relicensing" if it is licensed under this License, and 
if all works that were first published under this License somewhere other than 
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this MMC, and subsequently incorporated in whole or in part into the MMC, (1) 
had no cover texts or invariant sections, and (2) were thus incorporated prior 
to November 1, 2008. 


The operator of an MMC Site may republish an MMC contained in the site under cCc- 


BY-SA on the same site at any time before August 1, 2009, provided the MMC is 
eligible for relicensing. 
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